Ausschreibungssuche

Ökosystem vertrauenswürdige IT - Beweisbare Cybersicherheit (ÖvIT)

CAEU-WD/2023-63

Forschungs- und Entwicklungsdienste und zugehörige Beratung (73000000)

Dienstleistungen

Diese Ausschreibung hat den Zweck, einen IT-Stack erforschen zu lassen, für den Sicherheitseigenschaften durchgängig von der Hardware bis zur Software formal spezifiziert und verifiziert werden können. Hierfür sind die Sicherheitseigenschaften bereits bei der Auslegung von IT-Systemen zu berücksichtigen und Hardware und Software aufeinander abgestimmt zu entwickeln - "Security by Design" gepaart mit "Hardware and Software Co-Design". Über diese Ausschreibung werden Forschungsdienstleistungen und -werke ("Projekt") finanziert, deren Ergebnisse über den Auftraggeber der öffentlichen Verwaltung der Bundesrepublik Deutschland zur Verfügung stehen.

Halle (Saale), Kreisfreie Stadt (DEE02, NUTS 3)

Die Auftragsvergabe erfolgt in Form einer vorkommerziellen Beschaffung (PCP), bei der ein oder mehrere FuE-Dienstleistungsaufträge vergeben werden; ggf. auch parallel an eine Reihe von FuE-Anbietern, um es zu ermöglichen, alternative Lösungen zu vergleichen.

Um den Zweck der Ausschreibung zu erfüllen, ist der Bedarf in eine gemeinsame „Plattform ÖvIT“ und vier technische Domänen gegliedert. Übergeordnetes Ziel ist die durchgängige formale Verifikation von IT-Sicherheitseigenschaften über alle technischen Domänen. Die vier technischen Domänen umfassen die prioritären Forschungsfelder, die das Feld in Richtung des übergeordneten Ziels bewegen können. Die „Plattform ÖvIT“ umfasst das Community-Building und den Aufbau des Ökosystems sowie eine Vernetzung aller Projektteilnehmer für Beiträge dazu sowie Aspekten sowie zu einer gemeinsamen Referenzarchitektur und -implementierung für verifizierte Systeme. Die Domänen sind:

0. Querschnittsdomäne „Plattform ÖvIT“: Community-building / kommerzielles Ökosystem, Referenzarchitekturen und -anwendungen, Standards

1. Domäne 1: Software / Hardware Co-Design und Co-Verifikation - Methoden, Tools, Automatisierung, Anwendungen

2. Domäne 2: Methoden, Tools und Automatisierung für die Verifikation von Sicherheitseigenschaften von Software

3. Domäne 3: Methoden, Tools und Automatisierung für die Verifikation von Sicherheitseigenschaften an der Software-Hardware-Schnittstelle (Befehlssatzarchitektur/Instruction Set Architecture, ISA; Firmware; Gerätetreiber; Peripheriegeräte)

4. Domäne 4: Methoden und Tools für das Hardware-Design mit verifizierten Sicherheitseigenschaften

Jeder ausgewählte Bieter erhält eine Vereinbarung, bestimmte (idealerweise: alle) Domänen zu bearbeiten.

Das vorgeschlagene Vorgehen ist im Detail in einem wissenschaftlichen Konzept zu beschreiben und im Dialog und in Verhandlung mit der Cyberagentur auszuarbeiten. Zum Start der Dialog- und Verhandlungsphase übersendet der Auftraggeber die fachliche Bewertung zusammen mit Fragen und Anregungen, auf die der Bieter eingehen sollte. Die Bieter erhalten eine Vorbereitungszeit von drei Wochen. In den darauffolgenden zwei Wochen werden Gespräche mit allen geeigneten Bietern angesetzt.

Nach Abschluss der Dialog- und Verhandlungsphase werden die finalen Angebote abschließend nach Qualität bewertet und nach den Zuschlagskriterien Qualität und Preis unter Berücksichtigung einer möglichst vollständigen Abdeckung der Domänen gereiht und bezuschlagt. Es gelten bestimmte Vorbehalte.

Während der Laufzeit ist der Projekterfolg regelmäßig zu evaluieren und die weitere Planung an den tatsächlichen Verlauf der Forschungstätigkeit anzupassen. Hierfür sind mindestens jährliche Evaluationen vorzusehen.

Laufzeit in Monaten: 48

Varianten/Alternativangebote sind nicht zulässig.

nein

nein

Es handelt sich um einen Forschungs- und Entwicklungsauftrag, der in Anwendung des Ausnahmetatbestandes § 116 Abs. 1 Nr. 2 GWB nicht in den Anwendungsbereich des Vergaberechts fällt. Der Auftrag wird im Rahmen einer Vorkommerzielle Auftragsvergabe in Anlehnung an den wettbewerblichen Dialog vergeben.

Diese Beschaffung ist vom vom WTO-Übeereinkommen über das öffentliche Beschaffungswesen (GPA), den EU-Richtlinien über das öffentliche Auftragswesen und den nationalen Gesetzen, mit denen sie umgesetzt werden, ausgenommen, da es sich um FuE-Dienstleistungen handelt, bei denen die Vorteile nicht ausschließlich dem öffentlichen Auftraggeber für seine Verwendung bei der Ausübung seiner eigenen Angelegenheiten zugute kommen.

Die Veröffentlichung dieser Bekanntmachung im Amtsblatt der EU ist nicht als Verzicht auf diese Ausnahme zu verstehen. Die Veröffentlichung erfolgt auf freiwilliger Basis, und die Vergabe erfolgt nicht nach den Verfahren der EU-Richtlinien über die Vergabe öffentlicher Aufträge, sondern nach dem in den Ausschreibungsunterlagen beschriebenen Verfahren.

Der Wettberwerbliche Dialog wurde in Abschnitt IV 1.1) "Verfahrensart" aus formalen Gründen gewählt, da die vorkommerzielle Auftragsvergabe nicht als Verfahren verföffentlicht werden kann, und der "Dialog" dem beschriebenen Verfahren am nächsten kommt.

Hochschulen und Forschungs- und Wissenschaftseinrichtungen und vergleichbare Institutionen, soweit nicht privat-rechtlich organisiert:

- Grundordnung der Hochschule

- Satzung der Einrichtung

Gewerbliche/freiberufliche Bieter einschl. privat-rechtlich organisierte Forschungs- und Wissenschaftseinrichtungen und vergleichbare Einrichtungen haben folgende Eignung nachzuweisen, soweit dies vorgeschrieben ist:

- einen aktuellen (nicht älter als 6 Monate gerechnet ab dem Datum dieser Bekanntmachung) Nachweis der Gewerbeanmeldung oder eine vergleichbare Anmeldung nach Maßgabe der Rechtsvorschriften des EU-Mitgliedsstaates, in dem das Unternehmen ansässig ist,

- einen aktuellen (nicht älter als 6 Monate gerechnet ab dem Datum dieser Bekanntmachung) Nachweis der Eintragung in das Handelsregister oder ein vergleichbares Register nach Maßgabe der Rechtsvorschriften des EU-Mitgliedsstaates, in dem das Unternehmen ansässig ist,

Unabhängig der Rechtsform sind abzugeben:

- Eigenerklärung zu Ausschlussgründe nach §§ 123/124 GWB für Unternehmen,

- Eigenerklärung zur Einhaltung der Russland-Sanktionen,

- Eigenerklärungen zu Bewerber- und Bietergemeinschaft, Unteraufträge/Eignungsleihe, Verpflichtungserklärung anderer Unternehmen, soweit zutreffend

- Unternehmensdaten (Angaben zu Forschungstätigkeit und durchschnittliche Anzahl der aktiv Beschäftigten insgesamt) sowie Rechtsform und Kontaktdaten (Angaben zu den oder die Ansprechpartner, deren Adressen, Telefon-Nummern und E-Mail-Adressen der für die Auftraggeber zuständigen Mitarbeiter nach den hier relevanten Funktionen)

- Unternehmensdaten Hochschulen (Angaben zur Auftragsforschung im Bereich des Auftragsgegenstandes der letzten drei Jahre und durchschnittliche Anzahl der aktiv Beschäftigten insgesamt und in Bezug auf die durchführende Organisationseinheit) sowie Kontaktdaten (Angaben zu den oder die Ansprechpartner, deren Adressen, Telefon-Nummern und E-Mail-Adressen der für die Auftraggeber zuständigen Mitarbeiter nach den hier relevanten Funktionen)

Neugründungen, die keine relevanten Umsätze oder Mitarbeiterzahlen zur wirtschaftlichen und finanziellen Leistungsfähigkeit nachweisen können, können auch durch Vorlage entsprechender Bankerklärungen, diese Eignung nachweisen.

Bankerklärungen müssen jedenfalls so gestaltet sein, dass insofern keine Bedenken oder Zweifel an der wirtschaftlichen Leistungsfähigkeit aufkommen können - nicht ausreichend sind unklare, nicht eindeutige Erklärungen oder auch veraltete Erklärungen, die nicht mehr aktuell sind.

Denkbar ist auch eine Haftung der Bank für ihre entsprechenden Erklärungen, wenn hier erhebliche rechtliche Schwierigkeiten z. B. bei Geltendmachung eines Anspruches bestehen dürften (Kausalität, Verschulden etc.).

Als Nachweis gelten Referenzen über Forschungs- oder Programmier-Tätigkeiten des Bieters in der folgenden Form:

1. Mindestens drei verschiedene Veröffentlichungen von Personen, die bei dem Bieter beschäftigt sind, in Fachzeitschriften oder Konferenzen mit Peer-Review-Prozessen mit Bezug zum Leistungsgegenstand, die in den letzten fünf Jahren vor dem Stich-tag veröffentlicht wurden. Dabei sind Literaturverweise in einem üblichen Format, soweit vorhanden einschließlich Digital ject Identifier (DOI), anzugeben. Zudem ist darzustellen, welchen Beitrag das Personal des Bieters zu den Veröffentlichungen geleistet hat. Weiterhin ist zu erläutern, worin der Bezug zum Leistungsgegenstand besteht.

ODER

2. Mindestens zwei verschiedene FuE-Aufträge oder Beteiligungen an geförderten FuE-Vorhaben mit Bezug zum Leistungsgegenstand, deren Beginn oder Abschluss in die letzten fünf Jahre vor dem Stichtag fällt. Dabei sind Name und Gegenstand des Auftrags/Fördervorhabens, Gesamtkosten bei dem Bieter, ggf. bewilligte oder erhaltene Fördersumme, und Laufzeit anzugeben. Es ist darzustellen, welchen Beitrag das Personal des Bieters zu den Veröffentlichungen geleistet hat. Weiterhin ist zu erläutern, worin der Bezug zum Leistungsgegenstand besteht.

ODER

3. Der Bieter beschäftigt im Umfang von mindestens zwei Vollzeitäquivalenten Perso-nen, die mit Forschung mit Bezug zum Leistungsgegenstand beschäftigt sind; alle diese Personen verfügen über eine abgeschlossene wissenschaftliche Hochschul-bildung (in der Regel Master oder Diplom oder gleichwertig; auch: eine abgeschlossene Promotion). Es ist darzustellen, auf welchen Technology Readiness Levels (TRL) sich die Forschung bewegt. Marktnahe Entwicklungstätigkeiten, die über TRL 7 hinaus gehen, sind dabei nicht zu berücksichtigen.

ODER

4. Das Unternehmen oder mindestens zwei bei dem Bieter beschäftigte Personen haben innerhalb der letzten fünf Jahre vor dem Stichtag Open-Source-Projekte mit Bezug zum Leistungsgegenstand gepflegt. Der Nachweis geschieht durch

i. Verweis auf Open-Source-Repositorien, die vom Unternehmen oder den Personen geführt werden, oder

ii. Nachweis der Mitgliedschaft von mindestens einer bei dem Bieter beschäftigten Person in einem Gremium eines Open-Source-Projekts (z. B. Board of Directors, Technical Steering Committee o. Ä.).

ODER

5. Mindestens zwei beim Unternehmen beschäftigte Personen können aktive Arbeit an Open-Source-Projekten mit Bezug zum Leistungsgegenstand nachweisen. Dies geschieht über den Nachweis von mindestens fünf akzeptierten Pull-Requests bei öffentlichen Repositorien in den letzten fünf Jahren vor dem Stichtag.

ODER

6. Eine bei dem Bieter beschäftigte Person erfüllt die in Punkt 4 genannten Voraussetzungen und eine andere bei dem Bieter beschäftigte Person die in Punkt 5 genannten Voraussetzungen.

Eigenerklärung zur Einhaltung von § 19 Abs. 1 MiLoG, ggf. Arbeitnehmerentsendegesetz

Verpflichtung zur Angabe der Namen und beruflichen Qualifikationen der Personen, die für die Ausführung des Auftrags verantwortlich sind

Wettbewerblicher Dialog

nein

30.11.2023

10:00

• Deutsch (DE)

Die Beschaffung ist von den EU-Vergaberichtlinien und den sie umsetzenden nationalen Gesetzen ausgenommen.