Ausschreibung: Beratung, Software-Entwicklung, Internet und Hilfestellung - DE-München IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung Dokument Nr...: 7804-2022 (ID: 2022010709135543799) Veröffentlicht: 07.01.2022 * DE-München: IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung 2022/S 5/2022 7804 Auftragsbekanntmachung Dienstleistungen Rechtsgrundlage: Richtlinie 2014/24/EU Abschnitt I: Öffentlicher Auftraggeber I.1)Name und Adressen Offizielle Bezeichnung: Technische Universität München ("TUM") Postanschrift: Arcisstr. 21 Ort: München NUTS-Code: DE212 München, Kreisfreie Stadt Postleitzahl: 80333 Land: Deutschland Kontaktstelle(n): Herr Markus Haggenmiller E-Mail: [6]haggenmiller@zv.tum.de Telefon: +49 8928922141 Internet-Adresse(n): Hauptadresse: [7]www.tum.de I.3)Kommunikation Die Auftragsunterlagen stehen für einen uneingeschränkten und vollständigen direkten Zugang gebührenfrei zur Verfügung unter: [8]https://www.dtvp.de/Satellite/notice/CXP4Y9PRKNR/documents Weitere Auskünfte erteilen/erteilt folgende Kontaktstelle: Offizielle Bezeichnung: LUTZ | ABEL Rechtsanwalts PartG mbB Postanschrift: Brienner Str. 29 Ort: München NUTS-Code: DE212 München, Kreisfreie Stadt Postleitzahl: 80333 Land: Deutschland Kontaktstelle(n): Rechtsanwalt Christoph Richter E-Mail: [9]richter@lutzabel.com Telefon: +49 895441470 Fax: +49 8954414799 Internet-Adresse(n): Hauptadresse: [10]www.lutzabel.com Angebote oder Teilnahmeanträge sind einzureichen elektronisch via: [11]https://www.dtvp.de/Satellite/notice/CXP4Y9PRKNR I.4)Art des öffentlichen Auftraggebers Andere: Universität I.5)Haupttätigkeit(en) Bildung Abschnitt II: Gegenstand II.1)Umfang der Beschaffung II.1.1)Bezeichnung des Auftrags: IT-Sicherheit (Endpoint Protection & Incident Management) Referenznummer der Bekanntmachung: TUM-2022-EU-1 II.1.2)CPV-Code Hauptteil 72000000 IT-Dienste: Beratung, Software-Entwicklung, Internet und Hilfestellung II.1.3)Art des Auftrags Dienstleistungen II.1.4)Kurze Beschreibung: Die Technische Universität München, Zentrale IT (im Folgenden "TUM" oder "Auftraggeber") vergibt im Rahmen eines Verhandlungsverfahrens mit Teilnahmewettbewerb die Einführung und Betreuung einer Softwarelösung, die einen umfassenden Schutz von Servern, Arbeitsplatz-PCs und Laptops mit diversen Betriebssystemen gewährleisten soll. Ziel ist der Schutz, die Erkennung und Abwehr von Cyberangriffen durch Viren, Ransomware, Exploits und Malware durch eine integrierte, Agent-basierte Engine. Die Lösung soll die neuesten Technologien wie Echtzeitüberwachung, verhaltensbasierte Analyse, Machine Learning, KI, automatisierte Reaktionsmuster bei Bedrohungserkennung (EDR - Endpoint Detection and Reaction), etc. einsetzen. Umfassende Loggingfunktionen unterstützen das IT-Management bei der Risikoeinschätzung und der forensischen Analyse. Das Management der gesamten Sicherheitslösung soll zentral erfolgen. Zum Leistungsumfang gehören der Betrieb sowie die Pflege der oben genannten Komponenten. Neben der Einführung der Endpunktüberwachung ("Endpoint Protection") und dem Betrieb des Security Operations Center ("SOC") will die TUM im Rahmen des Vergabeverfahrens zusätzlich bestimmte Leistungen in Bezug auf die Endpoint Protection - Lösung sowie für den Fall von Security Incidents beschaffen, die vom Auftragnehmer nur auf Abruf erbracht werden sollen; sog. optionale Leistungen (siehe Abschnitt "Optionen"). II.1.5)Geschätzter Gesamtwert II.1.6)Angaben zu den Losen Aufteilung des Auftrags in Lose: nein II.2)Beschreibung II.2.3)Erfüllungsort NUTS-Code: DE212 München, Kreisfreie Stadt Hauptort der Ausführung: Technische Universität München Arcisstr. 21 80333 München II.2.4)Beschreibung der Beschaffung: Die Technische Universität München, Zentrale IT (im Folgenden "TUM" oder "Auftraggeber") vergibt im Rahmen eines Verhandlungsverfahrens mit Teilnahmewettbewerb die Einführung und Betreuung einer Softwarelösung, die einen umfassenden Schutz von Servern, Arbeitsplatz-PCs und Laptops mit diversen Betriebssystemen gewährleisten soll. Ziel ist der Schutz, die Erkennung und Abwehr von Cyberangriffen durch Viren, Ransomware, Exploits und Malware durch eine integrierte, Agent-basierte Engine. Die Lösung soll die neuesten Technologien wie Echtzeitüberwachung, verhaltensbasierte Analyse, Machine Learning, KI, automatisierte Reaktionsmuster bei Bedrohungserkennung (EDR - Endpoint Detection and Reaction), etc. einsetzen. Umfassende Loggingfunktionen unterstützen das IT-Management bei der Risikoeinschätzung und der forensischen Analyse. Das Management der gesamten Sicherheitslösung soll zentral erfolgen. Zum Leistungsumfang gehören der Betrieb sowie die Pflege der oben genannten Komponenten. Neben der Einführung der Endpunktüberwachung ("Endpoint Protection") und dem Betrieb des Security Operations Center ("SOC") will die TUM im Rahmen des Vergabeverfahrens zusätzlich bestimmte Leistungen in Bezug auf die Endpoint Protection - Lösung sowie für den Fall von Security Incidents beschaffen, die vom Auftragnehmer nur auf Abruf erbracht werden sollen; sog. optionale Leistungen (siehe Abschnitt "Optionen"). II.2.5)Zuschlagskriterien Die nachstehenden Kriterien Qualitätskriterium - Name: Konzept / Gewichtung: 60 Preis - Gewichtung: 40 II.2.6)Geschätzter Wert II.2.7)Laufzeit des Vertrags, der Rahmenvereinbarung oder des dynamischen Beschaffungssystems Laufzeit in Monaten: 48 Dieser Auftrag kann verlängert werden: nein II.2.9)Angabe zur Beschränkung der Zahl der Bewerber, die zur Angebotsabgabe bzw. Teilnahme aufgefordert werden Geplante Mindestzahl: 1 Höchstzahl: 3 Objektive Kriterien für die Auswahl der begrenzten Zahl von Bewerbern: Der Auftraggeber wählt (nur) drei Bewerber, die alle Eignungskriterien und Mindestanforderungen erfüllen, aus. Sollten mehr als drei Bewerber alle Eignungskriterien und Mindestanforderungen erfüllen, werden diejenigen drei Bewerber ausgewählt, welche die höchste Gesamtpunktzahl nach dem nachfolgenden dargestellten Maßstab (Teilnahmeauswahlkriterien) erreichen. Die geeigneten Referenzprojekte, welche die Mindestanforderungen erfüllen, werden im Rahmen der Teilnehmerauswahl anhand des nachfolgend dargestellten Maßstabs bepunktet. Voraussetzung für eine Bepunktung ist, dass die Bewerber bezüglich der nachfolgend genannten Auswahlkriterien mit ihrem Teilnahmeantrag eine Eigenerklärung abgeben haben (vgl. hierzu Ziffer II. in den Anlagen 3a - e zum Teilnahmeantrag / Formblatt Eignung). 1. Vergleichbarkeit des Referenzprojekts -Das Referenzprojekt ist in vollem Umfang mit der ausschreibungsgegenständlichen Leistung vergleichbar = 2 Punkte. -Das Referenzprojekt ist nur teilweise mit der ausschreibungsgegenständlichen Leistung vergleichbar = 1 Punkt. -Das Referenzprojekt ist nicht mit der ausschreibungsgegenständlichen Leistung vergleichbar (Mindestanforderung nicht erfüllt!) = 0 Punkte. 2. Art des Referenzgebers -Bei dem Referenzgeber handelt es sich um eine Hochschule / Universität oder um einen (sonstigen) öffentlichen Auftraggeber (bspw. Behörde, Verwaltung) = 2 Punkte. - Bei dem Referenzgeber handelt es sich um ein Unternehmen der Privatwirtschaft = 1 Punkt. 3. Auftragswert des Referenzprojekts - Das Referenzprojekt hatte einen Auftragswert von mehr als 500.000,- Euro = 2 Punkte. - Das Referenzprojekt hatte einen Auftragswert von mehr als 250.000,- Euro = 1 Punkt. - Das Referenzprojekt hatte einen Auftragswert von weniger als 250.000,- Euro = 0 Punkte. 4. Umfang des Referenzprojekts - Das Referenzprojekt umfasste den Betrieb der Endpoint Protection und das Incident-Management = 2 Punkte. - Das Referenzprojekt umfasste nur den Betrieb der Endpoint Protection = 1 Punkt. 5. Dauer des Referenzprojekts - mehr als 2 Jahre = 2 Punkte. - mehr als 1 Jahr = 1 Punkt. - weniger als 1 Jahr = 0 Punkte. 6. Implementierungsdauer des Referenzprojekts - weniger als 3 Monate - mehr als 3 Monate - mehr als 6 Monate Je Referenzprojekt können also bis zu 12 Punkte erreicht werden, für die maximal 3 zulässigen Referenzprojekte also insgesamt maximal 36 Punkte (maximal 3 Referenzprojekte x maximal 12 Punkte = maximal 36 Punkte). Ergeben sich auf Basis der Teilnahmeauswahlkriterien keine drei Bewerber, die mehr Punkte haben als die anderen Bewerber (z. B. weil es auf Platz 3 zwei Bewerber mit gleicher Punktzahl gibt), erfolgt die Auswahl der Bewerber aus dieser mit gleicher Punktzahl bepunkteten Gruppe durch Losentscheid. Liegen weniger als drei geeignete Bewerber vor, behält sich der Auftraggeber vor, das Verhandlungsverfahren mit den/dem geeigneten Teilnehmer(n) durchzuführen. II.2.10)Angaben über Varianten/Alternativangebote Varianten/Alternativangebote sind zulässig: nein II.2.11)Angaben zu Optionen Optionen: ja Beschreibung der Optionen: Im Rahmen des Projektes kann es erforderlich werden, dass durch den Auftragnehmer zusätzliche Leistungen erbracht werden müssen, deren Notwendigkeit und/oder Umfang vorab nicht absehbar bzw. planbar gewesen ist. Derartige Leistungen werden durch die TUM als sog. optionale Leistung abgerufen. Es besteht diesbezüglich keine Abnahmepflicht der TUM. Im Falle der Ausübung einer Option durch die TUM erfolgt der Abruf durch explizite einseitige Erklärung der TUM gegenüber dem Auftragnehmer in Schrift- oder Textform (bspw. E-Mail). Die TUM wird sich bemühen, optionale Leistungen frühzeitig, spätestens jedoch vier Wochen im Voraus anzukündigen und abzurufen (dies gilt nicht im Falle von Security Incidents). Der Auftragnehmer ist im Falle des Abrufs einer optionalen Leistung zu deren Ausführung zu den im Preisblatt angebotenen Preisen verpflichtet, d.h. dass in diesem Fall eine Leistungspflicht des Auftragnehmers besteht. Der Auftragnehmer sollte daher zur (etwaigen) Ausführung der optionalen Leistungen personelle und technische Kapazitäten vorhalten oder deren Aktivierung zumindest einplanen. 1. Option: Die TUM behält sich vor, bei dem Anbieter als optionale Leistung während der Betriebsphase eine technische-fachliche Unterstützung in Fragen der Effizienz, Optimierung oder technisch-strategischen Weiterentwicklung der Endpoint Protection Lösung durch einen qualifizierten technischen Ansprechpartner (TAM) abzurufen. Die Vergütung erfolgt zu dem vom Auftragnehmer im Preisblatt angebotenen Stundensatz (siehe Preisblatt). Die diesbezüglichen Leistungen sind während der Vertragslaufzeit auf einen Gesamtumfang von maximal 1200 Zeitstunden begrenzt. 2. Option: Die TUM behält sich vor, bei dem Anbieter als optionale Leistung im Falle von Security Incidents eine Unterstützung durch qualifizierte IT-Security Spezialisten in Form von Analysetätigkeiten oder technische-fachliche oder operative Unterstützung der TUM ZIT IT-Administration bei der Bearbeitung und Lösung von Security Incidents abzurufen. Die Vergütung erfolgt zu dem vom Auftragnehmer im Preisblatt angebotenen Stundensatz (siehe Preisblatt). Die diesbezüglichen Leistungen sind während der Vertragslaufzeit auf einen Gesamtumfang von maximal 2000 Zeitstunden begrenzt. 3. Option: Die TUM behält sich vor, bei dem Auftragnehmer als optionale Leistung Schulungen in dem nachfolgend benannten Umfang abzurufen: Durchführung von einer jährlichen eintägigen (alternativ 2x 1/2 Tag) Administrationsschulung mit jeweils max. 5 Teilnehmer/innen. Als Schulungsformat wird eine online Schulung bevorzugt, alternativ kann die Schulung in den Räumlichkeiten der TUM ZIT stattfinden. Die Vergütung erfolgt zu dem vom Auftragnehmer im Preisblatt angebotenen Pauschalpreis pro Schulung (siehe Preisblatt). Die Anzahl der Schulungen während der Vertragslaufzeit ist auf maximal sechs Schulungen begrenzt. II.2.13)Angaben zu Mitteln der Europäischen Union Der Auftrag steht in Verbindung mit einem Vorhaben und/oder Programm, das aus Mitteln der EU finanziert wird: nein II.2.14)Zusätzliche Angaben Abschnitt III: Rechtliche, wirtschaftliche, finanzielle und technische Angaben III.1)Teilnahmebedingungen III.1.1)Befähigung zur Berufsausübung einschließlich Auflagen hinsichtlich der Eintragung in einem Berufs- oder Handelsregister Auflistung und kurze Beschreibung der Bedingungen: I) Eigenerklärungen über das Nichtvorliegen von Ausschlussgründen i. S. d. §§ 123, 124 GWB, II) Soweit der Bieter/die Mitglieder der Bietergemeinschaft eintragungspflichtig ist/sind: Auszug/Auszüge aus dem Handelsregister oder bei Bietern von außerhalb der Bundesrepublik Deutschland aus dem vergleichbaren Register des Herkunftslandes des Bieters. Eigenerklärung des Bieters/der Bietergemeinschaft, dass der/die vorgelegte(n) Auszug/Auszüge den aktuellen Eintragungsstand wiedergibt/wiedergeben. III.1.2)Wirtschaftliche und finanzielle Leistungsfähigkeit Auflistung und kurze Beschreibung der Eignungskriterien: I) Nachweis (Versicherungsbestätigung oder -schein) einer Betriebs- bzw. Berufshaftpflichtversicherung des Bewerbers/der Mitglieder der Bewerbergemeinschaft zur Abdeckung aller sich aus der im Zusammenhang mit den Leistungen des Vertrags ergebenden, in Deutschland tarifmäßig versicherbaren Risiken, mit einer Deckungssumme in Höhe von mindestens 250.000,00 EUR für Personenschäden, mindestens 250.000,00 EUR für Sachschäden und mindestens 5.000.000,00 EUR für Vermögensschäden bei einem in einem Mitgliedstaat der EU oder eines Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum zugelassenen Versicherungsunternehmens. Die Maximierung der Ersatzleistung muss mindestens das Zweifache der Deckungssumme pro Kalenderjahr betragen. Alternativ zum Nachweis des Versicherungsschutzes ist eine Eigenerklärung des Bewerbers/jedes Mitglieds der Bewerbergemeinschaft abzugeben, im Auftragsfalle eine entsprechende Versicherung abzuschließen. II) Eigenerklärung des Bewerbers über den Gesamtumsatz, bezogen auf die letzten 3 Geschäftsjahre. Bei Bewerbergemeinschaften sind die jeweiligen Gesamtumsätze der Mitglieder pro Geschäftsjahr zu addieren und die Summe ist je Geschäftsjahr unter Gesamtumsatz anzugeben. Mindestanforderung ist ein jährlicher Umsatz in den letzten drei Geschäftsjahren von (jeweils) 2.000.000,- Euro (netto). Möglicherweise geforderte Mindeststandards: I) Nachweis (Versicherungsbestätigung oder -schein) einer Betriebs- bzw. Berufshaftpflichtversicherung des Bewerbers/der Mitglieder der Bewerbergemeinschaft zur Abdeckung aller sich aus der im Zusammenhang mit den Leistungen des Vertrags ergebenden, in Deutschland tarifmäßig versicherbaren Risiken, mit einer Deckungssumme in Höhe von mindestens 250.000,00 EUR für Personenschäden, mindestens 250.000,00 EUR für Sachschäden und mindestens 5.000.000,00 EUR für Vermögensschäden bei einem in einem Mitgliedstaat der EU oder eines Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum zugelassenen Versicherungsunternehmens. Die Maximierung der Ersatzleistung muss mindestens das Zweifache der Deckungssumme pro Kalenderjahr betragen. Alternativ zum Nachweis des Versicherungsschutzes ist eine Eigenerklärung des Bewerbers/jedes Mitglieds der Bewerbergemeinschaft abzugeben, im Auftragsfalle eine entsprechende Versicherung abzuschließen. II) Eigenerklärung des Bewerbers über den Gesamtumsatz, bezogen auf die letzten 3 Geschäftsjahre. Bei Bewerbergemeinschaften sind die jeweiligen Gesamtumsätze der Mitglieder pro Geschäftsjahr zu addieren und die Summe ist je Geschäftsjahr unter Gesamtumsatz anzugeben. Mindestanforderung ist ein jährlicher Umsatz in den letzten drei Geschäftsjahren von (jeweils) 2.000.000,- Euro (netto). III.1.3)Technische und berufliche Leistungsfähigkeit Auflistung und kurze Beschreibung der Eignungskriterien: I) Eigenerklärung zur Anzahl der Mitarbeiter im ausschreibungsgegenständlichen Bereich: Mindestanforderung ist eine Mitarbeiterzahl von mindestens 10 festangestellten Personen, die mindestens 75% ihrer Jahresarbeitszeit im ausschreibungsgegenständlichen Bereich tätig sind. II) Eigenerklärung zu den Sprachkenntnissen und der Berufserfahrung der zur Auftragsausführung vorgesehenen Mitarbeiter: 1. Mindestanforderung ist, dass der zur Auftragsausführung vorgesehene Projektleiter und dessen Stellvertreter, welche in unmittelbarem Kontakt mit dem Auftraggeber stehen werden, jeweils die deutsche Sprache in Wort und Schrift fließend beherrschen. 2. Mindestanforderung ist, dass der zur Auftragsausführung vorgesehene Projektleiter und dessen Stellvertreter sowie der Technical Account Manager (jeweils) eine mindestens 5-jährige Berufserfahrung im Bereich der ausschreibungsgegenständlichen Leistungen haben. III) Eigenerklärung zur Zertifizierung und zum Datenschutz: 1. Mindestanforderung ist, dass der Bieter vom Bundesamt für Sicherheit in der Informationstechnik ("BSI") als qualifizierter APT-Response-Dienstleister zertifiziert ist ([12]https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherhe it/Themen/Dienstleister_APT-Response-Liste.html). Alternativ kann eine Eigenerklärung des Bewerbers / der Bewerbergemeinschaft abgegeben werden, dass im Falle der Zuschlagserteilung bis zum Beginn der Auftragsausführung eine entsprechende Zertifizierung durch das BSI vorgenommen und ein diesbezüglicher Nachweis vorgelegt werden wird. 2. Mindestanforderung ist, dass der Bieter (i) sämtliche sich aus der DSGVO ergebenden Anforderungen an den Datenschutz und (ii) - sofern im Rahmen der Auftragsausführung eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU vorgesehen ist - zusätzlich sämtliche Anforderungen der DSGVO-Standardvertragsklauseln (Standard Contractual Clauses) der EU-Kommission in der jeweils aktuellsten Fassung erfüllt. Diesbezüglich wird darauf hingewiesen, dass die Bieter im Auftragsfalle verpflichtet sind, die seitens des Auftraggebers bzgl. des Datenschutzes vorgesehenen Vertragsdokumente zu unterzeichnen (ADV gem. Art. 28 DSGVO, erforderlichenfalls Standardvertragsklauseln der EU-Kommission). Alternativ kann eine Eigenerklärung des Bewerbers / der Bewerbergemeinschaft abgegeben werden, dass im Falle der Zuschlagserteilung spätestens ab dem Beginn der Auftragsausführung die vorgenannten Anforderungen an den Datenschutz erfüllt werden. IV) Referenzen: Eigenerklärungen (gem. nachfolgenden Anforderungen) über nachfolgend näher bezeichnete, geeignete Referenzprojekte des Bewerbers/der Bewerbergemeinschaft mit Angabe von Name, Anschrift und Kontaktdaten des Referenzgebers (Telefonnummer und E-Mail-Adresse der beim Referenzgeber zuständigen Abteilung, d.h. bspw. des Funktionspostfachs "[13]vergabestelle@Referenzauftraggeber.de), einer Projektbezeichnung sowie einer Beschreibung der erbrachten Leistungen (der Auftraggeber behält sich vor, die Angaben beim Referenzauftraggeber zu überprüfen). Bei Bewerbergemeinschaften muss klar erkennbar sein, welches Referenzprojekt welchem Mitglied zuzuordnen ist. Die Mindestanforderungen erfüllende Referenzprojekte der Mitglieder werden der Bewerbergemeinschaft zugerechnet. Auch von einer Bewerbergemeinschaft dürfen insgesamt nur die nachfolgend genannte Maximalzahl von Referenzprojekten benannt werden. Es werden nur die vom Bewerber/der Bewerbergemeinschaft im Teilnahmeantragsformular an vorgegebener Stelle jeweils genannten Referenzprojekte berücksichtigt. Sollten an anderer Stelle oder darüber hinaus Referenzprojekte benannt werden (z. B. auch in allgemeinen Bürobroschüren, Referenzlisten o. ä.), werden diese nicht berücksichtigt. Überdies kann die Einreichung von nicht geforderten Unterlagen zum Ausschluss des Teilnahmeantrags führen! Die Geeignetheit der jeweiligen vom Bewerber/der Bewerbergemeinschaft eingereichten Referenzen sowie die an diese Referenzen gestellten (und nachfolgend beschriebenen) Mindestanforderungen müssen sich unmittelbar aus den Angaben des Bewerbers/der Bewerbergemeinschaft an der jeweils vorgegebenen Stelle im Teilnahmeantragsformular entnehmen lassen. Für die Referenzprojekte gelten folgende Mindestanforderungen: a) Mindestens eine und maximal drei geeignete Referenzprojekte des Bewerbers (falls eine Bewerbung als Einzelbewerber erfolgt) oder, im Falle der Bewerbung einer Bewerbergemeinschaft, unter Bezeichnung desjenigen Mitglieds der Bewerbergemeinschaft, welches das Referenzprojekt erbracht hat. b) Das Referenzprojekt muss in dem Zeitraum vom 01.01.2019 bis zum 31.12.2021 beendet worden sein, oder, falls es zum 31.12.2021 noch fortdauert, bereits seit mindestens einem Jahr bestehen. c) Eine Referenz gilt als geeignet, wenn sie mit den in der Leistungsbeschreibung (Anlage 1) beschriebenen ausschreibungsgegenständlichen Leistungen nach Inhalt, Art und Umfang sowie Komplexität vergleichbar ist. Hinweis: Der Auftraggeber behält sich vor, die Angaben beim Referenzgeber zu überprüfen! Wird nicht mindestens eine geeignete Referenz vorgelegt, welche die vorgenannten Mindestanforderungen erfüllt, wird der Teilnahmeantrag ausgeschlossen! Möglicherweise geforderte Mindeststandards: I) Eigenerklärung zur Anzahl der Mitarbeiter im ausschreibungsgegenständlichen Bereich: Mindestanforderung ist eine Mitarbeiterzahl von mindestens 10 festangestellten Personen, die mindestens 75% ihrer Jahresarbeitszeit im ausschreibungsgegenständlichen Bereich tätig sind. II) Eigenerklärung zu den Sprachkenntnissen und der Berufserfahrung der zur Auftragsausführung vorgesehenen Mitarbeiter: 1. Mindestanforderung ist, dass der zur Auftragsausführung vorgesehene Projektleiter und dessen Stellvertreter, welche in unmittelbarem Kontakt mit dem Auftraggeber stehen werden, jeweils die deutsche Sprache in Wort und Schrift fließend beherrschen. 2. Mindestanforderung ist, dass der zur Auftragsausführung vorgesehene Projektleiter und dessen Stellvertreter sowie der Technical Account Manager (jeweils) eine mindestens 5-jährige Berufserfahrung im Bereich der ausschreibungsgegenständlichen Leistungen haben. III) Eigenerklärung zur Zertifizierung und zum Datenschutz: 1. Mindestanforderung ist, dass der Bieter vom Bundesamt für Sicherheit in der Informationstechnik ("BSI") als qualifizierter APT-Response-Dienstleister zertifiziert ist ([14]https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherhe it/Themen/Dienstleister_APT-Response-Liste.html). Alternativ kann eine Eigenerklärung des Bewerbers / der Bewerbergemeinschaft abgegeben werden, dass im Falle der Zuschlagserteilung bis zum Beginn der Auftragsausführung eine entsprechende Zertifizierung durch das BSI vorgenommen und ein diesbezüglicher Nachweis vorgelegt werden wird. 2. Mindestanforderung ist, dass der Bieter (i) sämtliche sich aus der DSGVO ergebenden Anforderungen an den Datenschutz und (ii) - sofern im Rahmen der Auftragsausführung eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU vorgesehen ist - zusätzlich sämtliche Anforderungen der DSGVO-Standardvertragsklauseln (Standard Contractual Clauses) der EU-Kommission in der jeweils aktuellsten Fassung erfüllt. Diesbezüglich wird darauf hingewiesen, dass die Bieter im Auftragsfalle verpflichtet sind, die seitens des Auftraggebers bzgl. des Datenschutzes vorgesehenen Vertragsdokumente zu unterzeichnen (ADV gem. Art. 28 DSGVO, erforderlichenfalls Standardvertragsklauseln der EU-Kommission). Alternativ kann eine Eigenerklärung des Bewerbers / der Bewerbergemeinschaft abgegeben werden, dass im Falle der Zuschlagserteilung spätestens ab dem Beginn der Auftragsausführung die vorgenannten Anforderungen an den Datenschutz erfüllt werden. IV) Referenzen: Eigenerklärungen (gem. nachfolgenden Anforderungen) über nachfolgend näher bezeichnete, geeignete Referenzprojekte des Bewerbers/der Bewerbergemeinschaft mit Angabe von Name, Anschrift und Kontaktdaten des Referenzgebers (Telefonnummer und E-Mail-Adresse der beim Referenzgeber zuständigen Abteilung, d.h. bspw. des Funktionspostfachs "[15]vergabestelle@Referenzauftraggeber.de), einer Projektbezeichnung sowie einer Beschreibung der erbrachten Leistungen (der Auftraggeber behält sich vor, die Angaben beim Referenzauftraggeber zu überprüfen). Bei Bewerbergemeinschaften muss klar erkennbar sein, welches Referenzprojekt welchem Mitglied zuzuordnen ist. Die Mindestanforderungen erfüllende Referenzprojekte der Mitglieder werden der Bewerbergemeinschaft zugerechnet. Auch von einer Bewerbergemeinschaft dürfen insgesamt nur die nachfolgend genannte Maximalzahl von Referenzprojekten benannt werden. Es werden nur die vom Bewerber/der Bewerbergemeinschaft im Teilnahmeantragsformular an vorgegebener Stelle jeweils genannten Referenzprojekte berücksichtigt. Sollten an anderer Stelle oder darüber hinaus Referenzprojekte benannt werden (z. B. auch in allgemeinen Bürobroschüren, Referenzlisten o. ä.), werden diese nicht berücksichtigt. Überdies kann die Einreichung von nicht geforderten Unterlagen zum Ausschluss des Teilnahmeantrags führen! Die Geeignetheit der jeweiligen vom Bewerber/der Bewerbergemeinschaft eingereichten Referenzen sowie die an diese Referenzen gestellten (und nachfolgend beschriebenen) Mindestanforderungen müssen sich unmittelbar aus den Angaben des Bewerbers/der Bewerbergemeinschaft an der jeweils vorgegebenen Stelle im Teilnahmeantragsformular entnehmen lassen. Für die Referenzprojekte gelten folgende Mindestanforderungen: a) Mindestens eine und maximal drei geeignete Referenzprojekte des Bewerbers (falls eine Bewerbung als Einzelbewerber erfolgt) oder, im Falle der Bewerbung einer Bewerbergemeinschaft, unter Bezeichnung desjenigen Mitglieds der Bewerbergemeinschaft, welches das Referenzprojekt erbracht hat. b) Das Referenzprojekt muss in dem Zeitraum vom 01.01.2019 bis zum 31.12.2021 beendet worden sein, oder, falls es zum 31.12.2021 noch fortdauert, bereits seit mindestens einem Jahr bestehen. c) Eine Referenz gilt als geeignet, wenn sie mit den in der Leistungsbeschreibung (Anlage 1) beschriebenen ausschreibungsgegenständlichen Leistungen nach Inhalt, Art und Umfang sowie Komplexität vergleichbar ist. Hinweis: Der Auftraggeber behält sich vor, die Angaben beim Referenzgeber zu überprüfen! Wird nicht mindestens eine geeignete Referenz vorgelegt, welche die vorgenannten Mindestanforderungen erfüllt, wird der Teilnahmeantrag ausgeschlossen! III.2)Bedingungen für den Auftrag III.2.2)Bedingungen für die Ausführung des Auftrags: Der Auftraggeber hat gem. § 47 Abs. 5 VgV festgelegt, dass wesentliche Aufgaben direkt vom Bieter selbst ausgeführt werden müssen, um die übergeordneten Ziele dieses Vergabeverfahrens bzw. der hieraus resultierenden Beauftragung zu erreichen, d.h. dass eine diesbezügliche Unterauftragsvergabe unzulässig ist. Eine etwaige Unterauftragsvergabe kommt lediglich in Bezug auf unter- bzw. nachgeordnete, rein ausführende bzw. umsetzende Tätigkeiten unter der Anleitung des (Haupt-)Auftragnehmers in Betracht. Die Vergabe von Unteraufträgen ist insbesondere dann unzulässig, wenn hieraus eine erhöhte Gefährdung der IT-Sicherheit der TUM resultiert. III.2.3)Für die Ausführung des Auftrags verantwortliches Personal Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der Personen, die für die Ausführung des Auftrags verantwortlich sind Abschnitt IV: Verfahren IV.1)Beschreibung IV.1.1)Verfahrensart Verhandlungsverfahren IV.1.3)Angaben zur Rahmenvereinbarung oder zum dynamischen Beschaffungssystem IV.1.4)Angaben zur Verringerung der Zahl der Wirtschaftsteilnehmer oder Lösungen im Laufe der Verhandlung bzw. des Dialogs Abwicklung des Verfahrens in aufeinander folgenden Phasen zwecks schrittweiser Verringerung der Zahl der zu erörternden Lösungen bzw. zu verhandelnden Angebote IV.1.5)Angaben zur Verhandlung Der öffentliche Auftraggeber behält sich das Recht vor, den Auftrag auf der Grundlage der ursprünglichen Angebote zu vergeben, ohne Verhandlungen durchzuführen IV.1.8)Angaben zum Beschaffungsübereinkommen (GPA) Der Auftrag fällt unter das Beschaffungsübereinkommen: ja IV.2)Verwaltungsangaben IV.2.2)Schlusstermin für den Eingang der Angebote oder Teilnahmeanträge Tag: 03/02/2022 Ortszeit: 10:00 IV.2.3)Voraussichtlicher Tag der Absendung der Aufforderungen zur Angebotsabgabe bzw. zur Teilnahme an ausgewählte Bewerber IV.2.4)Sprache(n), in der (denen) Angebote oder Teilnahmeanträge eingereicht werden können: Deutsch IV.2.6)Bindefrist des Angebots Laufzeit in Monaten: 3 (ab dem Schlusstermin für den Eingang der Angebote) Abschnitt VI: Weitere Angaben VI.1)Angaben zur Wiederkehr des Auftrags Dies ist ein wiederkehrender Auftrag: nein VI.3)Zusätzliche Angaben: Der Auftraggeber wendet gem. § 41 Abs. 3 VgV Maßnahmen zum Schutz der Vertraulichkeit der Leistungsbeschreibung an. Hintergrund ist der Umstand, dass eine etwaige unbeschränkte Veröffentlichung der in der Leistungsbeschreibung enthaltenen Angaben (insbesondere zur IT-Systemumgebung der TUM) es potentiellen Angreifern erleichtern könnte, Angriffe auf das IT-System der TUM durchzuführen. Auf Grund dessen wird der Zugriff auf die Leistungsbeschreibung nur denjenigen Bewerbern gewährt, die am Ende des Teilnahmewettbewerbs ausgewählt und zur Angebotsabgabe aufgefordert werden! Bevor diese Bewerber Zugriff auf die Leistungsbeschreibung nehmen können, müssen sie (i) sich zwingend auf der Vergabeplattform registrieren und (ii) eine Vertraulichkeitserklärung unterzeichnen (welche im weiteren Verfahrensablauf gesondert zur Verfügung gestellt werden wird). Die Leistungsbeschreibung wird (nur) diesen Bewerbern im Anschluss gesondert auf der Vergabeplattform zum Download zur Verfügung gestellt werden! Bekanntmachungs-ID: CXP4Y9PRKNR VI.4)Rechtsbehelfsverfahren/Nachprüfungsverfahren VI.4.1)Zuständige Stelle für Rechtsbehelfs-/Nachprüfungsverfahren Offizielle Bezeichnung: Regierung von Oberbayern - Vergabekammer Südbayern Postanschrift: Maximilianstraße 39 Ort: München Postleitzahl: 80538 Land: Deutschland E-Mail: [16]vergabekammer.suedbayern@reg-ob.bayern.de Telefon: +49 8921762411 Fax: +49 8921762847 VI.4.3)Einlegung von Rechtsbehelfen Genaue Angaben zu den Fristen für die Einlegung von Rechtsbehelfen: Gemäß § 160 Abs. 3 Satz 1 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) ist ein Nachprüfungsantrag unzulässig, soweit - der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Abs. 2 GWB bleibt unberührt, - Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, - Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden, - mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind. Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Abs. 1 Nr. 2 GWB. § 134 Abs. 1 Satz 2 GWB bleibt unberührt. Gemäß § 134 Abs. 1 GWB haben öffentliche Auftraggeber die Bieter, deren Angebote nicht berücksichtigt werden sollen, über den Namen des Unternehmens, dessen Angebot angenommen werden soll, über die Gründe der vorgesehenen Nichtberücksichtigung ihres Angebots und über den frühesten Zeitpunkt des Vertragsschlusses unverzüglich in Textform zu informieren. Dies gilt auch für Bewerber, denen keine Information über die Ablehnung ihrer Bewerbung zur Verfügung gestellt wurde, bevor die Mitteilung über die Zuschlagsentscheidung an die betroffenen Bieter ergangen ist. Gemäß § 134 Abs. 2 GWB darf ein Vertrag erst zehn (10) Kalendertage nach Absendung (per Telefax, E-Mail oder elektronisch über die Vergabeplattform DTVP) der Information nach 134 Abs. 1 GWB geschlossen werden. Die Frist beginnt am Tag nach der Absendung der Information durch den Auftraggeber; auf den Tag des Zugangs beim betroffenen Bieter und Bewerber kommt es nicht an. Ein öffentlicher Auftrag ist gemäß § 135 Abs. 1 GWB von Anfang an unwirksam, wenn der öffentliche Auftraggeber (i) gegen § 134 verstoßen hat oder (ii) den Auftrag ohne vorherige Veröffentlichung einer Bekanntmachung im Amtsblatt der Europäischen Union vergeben hat, ohne dass dies aufgrund Gesetzes gestattet ist, und dieser Verstoß in einem Nachprüfungsverfahren festgestellt worden ist. Gemäß § 135 Abs. 2 Satz 1 GWB kann die Unwirksamkeit nach § 135 Abs. 1 GWB nur festgestellt werden, wenn sie im Nachprüfungsverfahren innerhalb von 30 Kalendertagen nach der Information der betroffenen Bieter und Bewerber durch den öffentlichen Auftraggeber über den Abschluss des Vertrags, jedoch nicht später als sechs Monate nach Vertragsschluss geltend gemacht worden ist. Hat der Auftraggeber die Auftragsvergabe im Amtsblatt der Europäischen Union bekannt gemacht, endet die Frist zur Geltendmachung der Unwirksamkeit 30 Kalendertage nach Veröffentlichung der Bekanntmachung der Auftragsvergabe im Amtsblatt der Europäischen Union. VI.5)Tag der Absendung dieser Bekanntmachung: 03/01/2022 References 6. mailto:haggenmiller@zv.tum.de?subject=TED 7. http://www.tum.de/ 8. https://www.dtvp.de/Satellite/notice/CXP4Y9PRKNR/documents 9. mailto:richter@lutzabel.com?subject=TED 10. http://www.lutzabel.com/ 11. https://www.dtvp.de/Satellite/notice/CXP4Y9PRKNR 12. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister_APT-Response-Liste.html 13. mailto:vergabestelle@Referenzauftraggeber.de?subject=TED 14. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Dienstleister_APT-Response-Liste.html 15. mailto:vergabestelle@Referenzauftraggeber.de?subject=TED 16. mailto:vergabekammer.suedbayern@reg-ob.bayern.de?subject=TED -------------------------------------------------------------------------------- Database Operation & Alert Service (icc-hofmann) for: The Office for Official Publications of the European Communities The Federal Office of Foreign Trade Information Phone: +49 6082-910101, Fax: +49 6082-910200, URL: http://www.icc-hofmann.de