A. AUFTRAGGEBER

ÜBER DEUTSCHLAND SICHER IM NETZ E.V.

Deutschland sicher im Netz e.V. (DsiN) wurde 2006 als Verein auf dem ersten Nationalen IT-Gipfel (heute: Digital Gipfel) gegründet. Als gemeinnütziger Verein unterstützt DsiN Verbraucher:innen sowie kleine und mittelständische Unternehmen im sicheren und souveränen Umgang mit der digitalen Welt. Dafür bieten wir in Zusammenarbeit mit unseren Mitgliedern und Partnern konkrete Hilfestellungen sowie Mitmach- und Lernangebote für Menschen im privaten und beruflichen Umfeld an.

B. HINTERGRUND DES AUFTRAGS

Das Vorhaben "FitNIS2-Navigator: Prüfen. Verstehen. Handeln." stellt für alle Unternehmen, Handwerksbetriebe und Start-Ups eine Orientierungs- und Umsetzungshilfe zur Verfügung, um die Anwendbarkeit der Umsetzungsgesetze der Europäische NIS2-Richtline zu prüfen - und im Falle der Betroffenheit geeignete Maßnahmen anzustoßen, um den NIS2-Anforderungen zu entsprechen. Dazu wird ein Tool entwickelt (FitNIS2-Navigator), dass im Rahmen einer Selbsterhebung Auskunft über die den Handlungsbedarf gibt sowie passende Maßnahmen aufzeigt, mit denen das Unternehmen das eigene IT-Sicherheitsniveau verbessern und eine Compliance erreichen kann. Unterstützt wird das Vorhaben durch eine Vielzahl an Transfermaßnahmen, mit denen das Tool der Zielgruppe vermittelt wird. Zentraler Gedanke ist zudem die Begleitung der Unternehmen, in dem über neue Entwicklungen der NIS2-Anforderungen sowie neue passende Angebote informiert wird, um die kontinuierliche Befassung zu stärken. Das Projekt kooperiert eng mit der Transferstelle Cybersicherheit des BVMW e.V. und der Begleitforschung Mittelstand-Digital und findet darüber hinaus durch ein Stakeholder-Board eine Verankerung in der Praxis der NIS-Umsetzung. Ziel ist es, den Unternehmen eine effektive Hilfestellung zu bieten (ohne abschließende Garantie der Rechtskonformität).

Deutschland sicher im Netz e.V. übernimmt im Rahmen der Arbeitsgemeinschaft mit der Universität Paderborn die Leitung des Projekts und konzentriert sich in den Arbeitspaketen vor allem auf die Entwicklung und Bereitstellung des Tools, die zielgruppengerechte Ansprache und Verbreitung mittels geeigneter Transfermaßnahmen, die Steuerung des begleitenden Stakeholder-Boards sowie die Koordinierung der Öffentlichkeitsarbeit und Kommunikation. Darüber hinaus zeichnet sich DsiN für die übergreifende Projektsteuerung verantwortlich sowie die Evaluation der Projektergebnisse.

Die Universität Paderborn ist hauptverantwortlich für die Erarbeitung eines tiefgehenden juristischen Verständnisses zu Auslegung und Abgrenzung der neuen Regulierung sowie darauf aufbauend die organisatorisch-technischen Praxisanforderungen für betroffene Unternehmen, die wiederrum in den FitNIS2-Navigator einfließen. Darüber hinaus ist die Universität verantwortlich für die Angebotsdatenbank (Konzeption, Kriterien, Kuratierung).

C. AUFTRAGSBESCHREIBUNG

Die hier zu vergebende Leistung bezieht sich auf die organisatorisch-technische Auslegung und Abgrenzung inkl. Praxisanforderungen des NIS2UmsuCG.

Ausgangsituation: Mit der fortlaufenden Digitalisierung von Produkten und Geschäftsprozessen steigt die Abhängigkeit von IT für KMUs und potenzielle Cyberangriffe werden zunehmend zu einem signifikanten Risiko.

Folglich stehen die KMUs vor der Herausforderung, ihr aktuelles Cybersecurity-Bedrohungspotenzial zu kennen und die organisationalen, prozessualen, technischen und mitarbeiterbezogenen Cybersecurity-Maßnahmen adäquat auf zukünftige Angriffe vorzubereiten. Damit hierfür eine gesetzliche Verankerung existiert, soll das NIS2-Umsetzungsgesetz (NIS2UmsuCG) zur Umsetzung der Richtlinie EU NIS2 eingeführt werden. Dieses Gesetz soll es ermöglichen, die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken, die Reaktionsfähigkeit auf Cyberangriffe zu verbessern und die Zusammenarbeit zwischen den Mitgliedstaaten zu fördern, um ein höheres Maß an Cybersicherheit in der gesamten EU zu erreichen.

Zielsetzung: Das Ziel des Projekts ist es, eine umfangreiche Anforderungsmatrix zu entwickeln. Diese soll Anforderungen des Gesetzes in konkrete organisatorisch-technische Handlungsmaßnahmen übersetzen, die für eine Compliance der getroffenen KMUs erforderlich sind. Zur Entwicklung sollen neben dem Gesetz selbst etablierte Standards herangezogen und gebündelt werden.

Leistungen: Das Leistungspaket dient DsiN als Unterstützung bei allen Schritten, die im Rahmen des Arbeitspakets „Organisatorisch-technische Auslegung und Abgrenzung inkl. Praxisanforderungen“ anfallen. Dies enthält im Wesentlichen folgende Leistungen:

 

1. Unterstützung bei der Entwicklung eines organisatorisch-technischen Verständnisses und Auslegung der NIS2UmsuCG

 

1. Überblick über NIS2UmsuCG:

• Detaillierte Durchsicht und Untersuchung der Richtlinie NIS2UmsuCG
• Identifikation von Zusammenhängen zwischen den Vorschriften und Anforderungen

 

2. Auslegung der NIS2UmsuCG:

• Interpretation und Übersetzung der Vorschriften

 

3. Entwicklung organisatorisch-technischen Verständnisses:

• Ermittlung, Dokumentation und Bewertung notwendiger Organisationsstrukturen
• Identifikation und Bewertung notwendiger technischer Infrastruktur

 

2. Unterstützung beim Ableiten von Anforderungen für KMUs zur Erfüllung der NIS2UmsuCG

 

1. Analyse der NIS2UmsuCG für KMUs:

• Untersuchung der spezifischen Bestimmungen der NIS2UmsuCG für kleine und mittlere Unternehmen (KMUs)
• Identifikation der für KMUs relevanten Sicherheitsanforderungen und Compliance-Vorschriften
• Überprüfung, ob die Interpretation der Vorschriften im Kontext KMU anzupassen ist
• Ggf. Anpassung der Interpretation und Übersetzung

 

2. Ableitung spezifischer Anforderungen:

• Definition von technischen und organisatorischen Sicherheitsanforderungen, die KMUs erfüllen müssen
• Erstellung einer Liste von Mindestanforderungen zur Konformität mit NIS2UmsuCG
• Identifikation von spezifischen Besonderheiten und deren Berücksichtigung
• Erstellung eines Anforderungskatalogs für KMUs basierend auf der Richtlinie

 

3. Unterstützung beim Ableiten von Zielgruppenspezifika, welche Unternehmen der NIS2UmsuCG unterliegen

 

1. Analyse der NIS2UmsuCG-Anforderungen:

• Identifikation der spezifischen Bestimmungen und Anforderungen für verschiedene (KMU)Unternehmensgrößen und -typen

 

2. Identifikation relevanter Unternehmen:

• Ermittlung der Branchen und Sektoren, die unter die NIS2UmsuCG fallen (z.B. Energie, Transport, Gesundheit, Finanzwesen, digitale Infrastruktur).
• Identifikation der Kriterien, die bestimmen, welche KMUs als wesentliche Dienste oder digitale Dienste gelten.

 

3. Segmentierung der Zielgruppen:

• Kategorisierung der betroffenen KMUs nach Größe (z.B. Kleinstunternehmen, Kleinunternehmen) und Branche.
• Unterscheidung zwischen verschiedenen Arten von Diensten (z.B. kritische Infrastruktur vs. digitale Dienste).

 

4. Ermittlung spezifischer Anforderungen pro Zielgruppe:

• Ableitung der spezifischen Sicherheitsanforderungen für die identifizierten Zielgruppen
• Identifikation und Bewertung von branchenspezifischen Risiken und Herausforderungen

 

5. Dokumentation und Berichtswesen:

• Detaillierte Dokumentation der abgeleiteten Zielgruppenspezifika

 

4. Unterstützung beim Ableiten von Handlungsmaßnahmen für KMUs zur Erfüllung des NIS2UmsuCG

 

1. Ableiten von Handlungsmaßnahmen:

• Identifikation von technischen und organisatorischen Maßnahmen, die zur Erfüllung von NIS2UmsuCG passend sind
• Erstellung eines Maßnahmenkatalogen mit möglichen Maßnahmen
• Recherche, Beschreibung und Verlinkung von passenden kostenlosen Maßnahmen
• Empfehlungen zur Auswahl und Implementierung von kostenlosen Sicherheitslösungen und -technologien

 

2. Entwicklung zielgruppenspezifischer Handlungsmaßnahmen:

• Berücksichtigung der verschiedenen Zielgruppen im Maßnahmenkatalogen
• Analyse und Beschreibung von technischen und organisatorischen Sicherheitsmaßnahmen, die den spezifischen Anforderungen der jeweiligen Zielgruppe entsprechen
• Analyse und Berücksichtigung der jeweiligen Branche und Unternehmensgröße bei Empfehlungen zur Auswahl und Implementierung von kostenlosen Sicherheitslösungen und -technologien

 

3. Dokumentation und Berichtswesen:

• Detaillierte Dokumentation der abgeleiteten Maßnahmen zur Erfüllung von NIS2UmsuCG
• Erstellung von Informationsmaterialien, Leitfäden und Checklisten, die auf die Bedürfnisse und Anforderungen der verschiedenen Zielgruppen abgestimmt sind

 

Zur Durchführung des Leistungskataloges ist eine regelmäßige Abstimmung mit der Universität Paderborn notwendig.

D. BUDGET UND ZEITPLAN

Die Leistungserbringung beginnt nach Auftragserteilung und wird nach 20 Wochen abgeschlossen, entsprechend muss auch die Abschlussrechnung gestellt werden.

Die Leistungserbringung wird für das Jahr 2025 grob in vier Phasen unterteilt:

Januar – Mitte Februar: Unterstützung bei der Entwicklung eines organisatorisch-technischen Verständnisses und Auslegung der NIS2UmsuCG

Mitte Februar – Anfang März: Unterstützung beim Ableiten von Anforderungen für KMUs zur Erfüllung der NIS2UmsuCG

Anfang März – Mitte April: Unterstützung beim Ableiten von Zielgruppenspezifika, welche Unternehmen der NIS2UmsuCG unterliegen

Mitte April - Mitte Mai: Unterstützung beim Ableiten von Handlungsmaßnahmen für KMUs zur Erfüllung des NIS2UmsuCG

Da für diesen Auftrag nur begrenzte Mittel zur Verfügung stehen, beträgt die Angebotsobergrenze für den ausgeschriebenen Auftrag € 79.800 (netto). Wir bitten darum, in Ihrem Angebotspreis mit konkreten Vorschlägen von Maßnahmen entsprechend den Nettobetrag und die gesetzliche MwSt. auszuweisen.

E. VERFAHREN

FRISTEN

Das Angebot wurde bei www.bund.de (http://www.bund.de) und www.sicher-im-netz.de (http://www.sicher-im-netz.de) am 03.12.2024 bekannt gemacht.

Wir freuen uns auf Ihr Angebot auf Basis dieser Ausschreibung bis zum 12.12.2024, 23:59 Uhr. Bitte senden Sie Ihr Angebot ausschließlich in digitaler Form an ausschreibungen@sicher-im-netz.de (mailto:ausschreibungen@sicher-im-netz.de)

Die Bindefrist endet am 17.12.2024, der Zuschlag wird der/dem erfolgreichen Bieter:in innerhalb der Bindefrist in Textform mitgeteilt. Antworten auf Nachfragen per Mail an c.mueller@sicher-im-netz.de (mailto:c.mueller@sicher-im-netz.de) werden zeitnah unter www.sicher-im-netz.de/ausschreibungen (http://www.sicher-im-netz.de) veröffentlicht. Schlusstermin für (ausschließlich elektronische) Rückfragen ist der 10.12.2024, 12:00 Uhr (siehe F.).

KRITERIEN

Das Angebot muss soweit ausgearbeitet sein, dass klar erkennbar und bewertbar ist, wie wesentliche Inhalte der Leistungsbeschreibung, möglichst nach Kostenposition gegliedert, umgesetzt werden sollen. Bitte geben Sie außerdem Auskunft über Ihre Leistungsfähigkeit, stellen Sie geeignete Referenzen dar und skizzieren Sie die Eignung Ihres Personals für die Umsetzung des Auftrags.

Verhandlungssprache ist Deutsch. Gerichtsstand ist Deutschland.

Die Gesamtleistung bildet ein Los. Nebenangebote werden nicht zugelassen.

Eingereichte Angebote werden nach dem Ender der Frist nach den folgenden Kriterien und Gewichtungen bewertet:

• Angebotspreis (30%)
• Qualität des Angebots hinsichtlich Gesamtkonzeption, Auflistung aller angefragten Leistungen inkl. Informationen und Auspreisungen (Brutto- und Nettowerte) pro Position; Gesamtsumme; Umsetzung der Anforderungen; übersichtliche und ansprechende Gestaltung des Angebots; Aussagen zur Qualifikation, Expertise und Erfahrung des Projektteams, Anschaulichkeit und Schlüssigkeit, Vollständigkeit der Anlagen (40%)
• Referenzen/bisherige Erfahrungen: Erwartbare Qualität des Produktes/der Dienstleistung anhand von Nachweisen über bereits durchgeführte vergleichbare Arbeiten; Erfahrung mit Auftraggebern, die öffentliche Gelder verwenden (30%)

Bei Zuschlag gelten die DsiN e. V. Vertragsbedingungen. Diese finden Sie unter dem folgenden Link: https://www.sicher-im-netz.de/vertragsbedingungen (http://www.sicherim-netz.de/vertragsbedingungen).

Sach- und Nebenkosten, Arbeitstreffen und Abstimmungsgespräche mit dem Auftraggeber und Verbundpartner sind mit dem Angebotspreis abgegolten und können nicht gesondert in Rechnung gestellt werden.

Weitere Details werden nach Auftragsvergabe im Auftaktgespräch abgestimmt, der Auftragnehmer bestimmt eine feste Ansprechperson für den Auftraggeber, die fließend Deutsch spricht und in die Umsetzung der Leistung eingebunden ist.

F. ANSPRECHPARTNERIN

Bei Fragen wenden Sie sich gerne per Mail an die Projektleiterin Claudia Müller unter c.mueller@sicher-im-netz.de (mailto:c.mueller@sicher-im-netz.de), die Antworten werden unter der Ausschreibung unter www.sicher-im-netz.de/ausschreibungen (http://www.sicher-im-netz.de) veröffentlicht. Schlusstermin für (ausschließlich elektronische) Rückfragen ist der 10.12.2024, 12:00 Uhr.

-----------------------------------------------------

Deutschland sicher im Netz e.V.

Albrechtstraße 10c

10117 Berlin

+49 30 767581-500

 

 

Frage 1:

Ist es richtig, dass dafür keine weiteren Ausschreibungsunterlagen erhältlich sind und es auch keine Vorgaben hinsichtlich der Form gibt?

Antwort 1:

Auf dieser Seite finden Sie alle Informationen, die für diese Ausschreibung relevant sind. Es gibt keine weiteren Ausschreibungsunterlagen und auch keine weiteren Vorgaben zur Form

Frage 2:

Wir bereiten aktuell ein Angebot für die oben genannte Ausschreibung vor. Hierfür würde ich mich gerne vergewissern, dass ich keine geforderte Anlage übersehen habe. Einzureichen sind:

(1) Angebot mit Leistungen inkl. Preisen,
(2) Projektteam inkl. Qualifikationen
(3) Liste mit Referenzprojekten

Lassen Sie mich gerne wissen, falls noch weitere Anlagen anzufügen sind.

Antwort 2:

Alle geforderten Kriterien sind hier einsehbar, zusätzliche Anlagen gibt es nicht. Die u.g. Punkte 1 bis 3 sind korrekt.

 

Frage 3:

Aus unserer Sicht wirken die beiden Ausschreibungen wie Teile eines kohärenten Gesamtprojekts. Gibt es einen besonderen Grund, warum sie als separate Ausschreibungen aufgesetzt wurden?

Antwort 3:

Die beiden Ausschreibungen sind Teil des Gesamtprojektes FitNIS2 – sie unterscheiden sich in ihren Dienstleistungen inhaltlich (Technische Umsetzung der Plattform und Organisatorisch-technische Auslegung und Abgrenzung inkl. Praxisanforderungen des NIS2-Umsetzungsgesetzes (NIS2UmsuCG), es werden unterschiedliche Expertisen benötigt, sie sollten möglichst fokussiert adressiert werden. Daher sind die Ausschreibungsinhalte separiert.

 

Frage 4:

Sind die beiden Projekte organisatorisch komplett voneinander getrennt, oder gibt es Überschneidungen, die wir berücksichtigen sollten?

Antwort 4:

Die Inhalte der Ausschreibungen sind so aufgebaut, dass eine Abstimmung unter den Unterauftragnehmenden unabdinglich ist. Dafür steht eine Austauschplattform mit allen Akteuren und der Universität Paderborn unter der Projektleitung von DsiN zu Verfügung.

 
Frage 5:

Angesichts der Dringlichkeit der NIS2-Richtlinie und der möglichen Konsequenzen bei Nicht-Einhaltung: Wäre es aus Ihrer Sicht sinnvoll, eine beschleunigte Umsetzung anzubieten?

Antwort 5:

Der Projektplan sieht für die Umsetzung realistische 20 Wochen vor. Dies entspricht den Verwaltungsressourcen des Projektes.

 

Frage 6:

Eine ausgewogene Vorgehensweise könnte darin bestehen, bestimmte technische Maßnahmen wie die Konfiguration von Servern, Web-Infrastruktur oder grundlegenden Technologien bereits in den ersten Projektphasen vorzuziehen. Diese übergreifenden Elemente, die oft bei ähnlichen Projekten benötigt werden, könnten vorab implementiert werden, ohne auf die Ergebnisse der Workshops oder der explorativen Phasen zu warten. Dadurch ließen sich stabile Grundlagen schaffen und gleichzeitig Zeit bei Maßnahmen sparen, die ohnehin später umgesetzt werden müssten, um die projektspezifischen Lösungen zu stützen.
Würde eine solche Methodik Ihrer Ansicht nach gut in den Rahmen der beschriebenen Projekte passen?

Antwort 6:

Welcher Zeitplan sinnvoll ist, kann nach Beauftragung inhaltlich mit dem Auftraggeber und dessen Verbundpartnern abgestimmt werden.
Eine Umsetzung in Ausbaustufen kann besprochen werden, um zu ermöglichen, dass das Tool zeitnah online gestellt werden kann.
Nach Absprache kann es sich als sinnvoll ergeben, zu Beginn die Web-Infrastruktur zu errichten.

 

Frage 7:

Gehen wir recht in der Annahme, dass die Aufwandsschätzungen auf Ebene der ersten Hierarchieebene unterhalb der Nummerierungen I bis IV erfolgen sollen?

Antwort 7:

Die mit den römischen Ziffern I bis IV wurden die Überschriften gekennzeichnet, die einzelnen Aufgaben (Leistungsbeschreibung) sind mit der arabischen Nummerierung 1.2.3.4.5. gekennzeichnet.

 

Frage 8:

Gibt es Schätzungen, wie viele Termine vor Ort, insbesondere an der Universität Paderborn, durchgeführt werden sollen?

Antwort 8:

In der Anfangsphase werden 1-2 Workshops (vor Ort) pro Monat durchgeführt, später 1 Workshop pro Monat. Zusätzlich werden regelmäßig Videokonferenzen zum Austausch durchgeführt.

 

Frage 9:

Gemäß Punkt II wird auf spezifische Bestimmungen des NIS2UmsuCG referenziert. Sind damit ausschließlich die gesetzlichen Anforderungen gemeint oder sollen darüber hinaus auch Anforderungen der Branchenspezifischen Sicherheitsstandards (B3S) in diese Analyse mit einfließen?

Antwort 9:

In die Analyse fließen neben den NIS2-Regularien (primäres Feld) auch darüberhinausgehende Anforderungen ein (DORA, KRITIS-Dach,...)

 

Frage 10:

Darf das Angebot aus vier Gewerken gemäß den Nummerierungen (I bis IV) bestehen?

Antwort 10:

Die Gesamtleistung bildet ein Los. Nebenangebote werden nicht zugelassen.

-------------------------

Bekanntgabe des Gewinners der Ausschreibung „Technisch-Organisatorische Auslegung des NIS2-Umsetzungsgesetzes“

Nach sorgfältiger Prüfung aller eingereichten Angebote freuen wir uns, den Gewinner unserer Ausschreibung bekannt zu geben:

cyberintelligence.institute GmbH, Frankfurt a.M.

Das ausgewählte Unternehmen überzeugte durch exzellente Angebotsqualität, umfassende Erfahrung und innovative Lösungsansätze, die unsere Anforderungen in besonderer Weise erfüllen.

Gleichzeitig möchten wir unseren ausdrücklichen Dank an alle teilnehmenden Unternehmen aussprechen. Die Vielfalt, Qualität und Professionalität der eingereichten Angebote haben die Entscheidung nicht leicht gemacht und verdeutlichen die hohe Expertise und Innovationskraft in diesem Bereich. Jedes einzelne Angebot zeigte großes Engagement, Fachkompetenz und kreative Lösungsansätze.

Wir schätzen die Zeit, die Mühe und die Expertise, die Sie in Ihre Angebote investiert haben, sehr und bedanken uns herzlich für Ihre Teilnahme. Auch wenn nicht jedes Unternehmen den Zuschlag erhalten konnte, sind wir zuversichtlich, dass Ihre Expertise in zukünftigen Projekten von großer Bedeutung sein wird.

-----------------------