Ausschreibung

NRW vergibt Rahmenvertrag für IT-Sicherheitschecks. Ziel ist Stärkung der Informationssicherheit auf Landes- und Kommunalebene. Umfassende organisatorische Überprüfung von ISMS nach BSI-Standards. Standardisierte Reports mit Handlungsbedarfen. Keine technische Prüfung. Rahmenvertrag für abrufberechtigte Parteien: Landesbehörden, Kommunen, IT-Dienstleister. Kostenübernahme für Kommunen bis 31.12.2026 durch Land NRW. Die Landesbehörden und IT-Dienstleister des Landes tragen die Kosten selbst. BSI IT-Grundschutz-Kompendium und BSI-Standards der Reihe 200-x sind maßgeblich. Bewertung erfolgt qualitativ durch Fragebögen, Workshops und Interviews. Technische Umsetzung wird überblicksartig betrachtet. Mindestens 50 Checks pro Monat möglich. Quartalsweise High-Level-Reports für Landes- und Kommunalebene. Der Auftragnehmer muss die Prüfschemata strikt nach den fachlichen Vorgaben des BSI IT-Grundschutz-Kompendiums und den BSI-Standards der Reihe 200-x erstellen, inkl. der spezifischen Realisation einer Prüfung mittels WiBA. Auf Abruf der abrufberechtigten Parteien muss der Auftragnehmer einen IT-Sicherheitscheck durchführen. Ein IT-Sicherheitscheck im Sinne der vorliegenden Ausschreibung ist eine überwiegend organisatorisch ausgerichtete standardisierte Überprüfung des Reifegrads eines Informationssicherheitsmanagements (ISMS) eines öffentlichen Auftraggebers. Im Fokus stehen u.a. die vorhandenen Richtlinien, Rollen, Verantwortlichkeiten und Prozesse, insbesondere inkl. Outsourcing, sowie deren gelebte Umsetzung im Rahmen eines ISMS auf Basis des BSI IT-Grundschutz-Kompendiums und der BSI-Normenreihe 200-x. Die Bewertung erfolgt durch den späteren Auftragnehmer primär qualitativ durch geeignete Prüfschemata mittels z.B. Fragebögen, Workshops und Interviews. Ziel ist ein standardisierter Report bzgl. Reifegrad des ISMS in der geprüften Organisation. Zudem muss der Report konkrete und eigenständig nachnutzbare Handlungsbedarfe mit zugehörigen Handlungsempfehlungen aufzeigen. Explizit nicht Gegenstand der Ausschreibung ist die Behebung der aufgefundenen Defizite oder Erbringung von individuellen Beratungsleistungen über die im standardisierten Report und ggf. Ergebnispräsentation gegenüber den geprüften Organisationen hinaus. Die technische Umsetzung der Vorgaben des ISMS wird hierbei lediglich überblicksartig und stichprobenartig betrachtet, ohne den Einsatz tiefergehender technischer Scans oder aktiver Prüfmaßnahmen. Die Stichproben müssen hierbei repräsentativ gewählt werden und sind insbesondere in Bereichen erfahrungsgemäß hoher Fehlerträchtigkeit anzusiedeln. Der Umfang des IT-Sicherheitschecks wird im Rahmen der Leistungsbeschreibung einheitlich vorgegeben werden. Der Auftragnehmer muss mindestens 50 IT-Sicherheitschecks pro Monat durchführen können. Der Auftragnehmer muss dem MHKBD zudem quartalsweise zwei schriftliche High- Level-Reports zuliefern (eine für die Landesverwaltungs- und eine für die Kommunalebene). In diesen High-Level-Reports sind die Prüfergebnisse nach seitens MHKBD im Rahmen der Leistungsbeschreibung definierten Kriterien aggregiert zusammenzufassen (z.B. aber nicht nur regionale Zugehörigkeit, Behördengröße, IT-Selbst- bzw. IT-Fremdbetrieb usw.). Wesentliche Trends inkl. globalen Handlungsbedarfen müssen aus diesen High-Level-Reports zweifelsfrei ableitbar sein. Der Auftraggeber behält sich vor, die Anforderungen im Laufe des Verfahrens zu präzisieren und anzupassen.

Rahmenvertrag für IT-Sicherheitschecks. Prüfung von Informationssicherheitsmanagementsystemen. Fokus auf organisatorische Aspekte.