Rahmenvertrag zur Beratung für Cybersicherheit und Resilienzstärkung

Zur Erreichung der genannten Projektziele sind konkret folgende Anforderungen an den Dienstleister gestellt: Konkret muss der Dienstleister, neben projektmanagementspezifischen Leistungen, die folgen-den fachlichen Dienstleistungen erbringen: a) Auf Basis der bestehenden Unternehmensinformationen (Unternehmenspolitik, Strate-gien, Richtlinien, Verfahrensanweisungen, Arbeitsanweisungen, Prozessen, IT-/OT-Landschaft, Gap-Analysen BIA, Netzwerkpläne, Projektergebnisse etc.) wirksame und nachhaltige Liefergegenstände/ Governance-Dokumentationen (Politiken, Strate-gien, Konzepte, Risikoanalysen, Playbooks etc.) entwickeln, abstimmen und bei der Umsetzung unterstützen. Die Umsetzungsunterstützung umfasst, sofern in den genannten Teilprojekten nichts anderes angegeben ist, mindestens: aa) die Erstellung oder Anpassung von wirksamen und nachhaltigen Richtlinien, Verfahrensanweisungen, Arbeitsanweisungen, Prozessen (BPMN), etc., ab) die Definition von Rollen und Verantwortlichkeiten, insbesondere unter dem Aspekt von Segregation of Duties, und die Dokumentation in einer RACI-Matrix, ac) die Erarbeitung von aussagekräftigen Kennzahlen und KPIs, um die Kontrolle und Weiterentwicklung zu ermöglichen, ad) die Datenerhebung und Zusammenführung der dezentralen Fachinformationen in ein oder mehrere Systeme, ae) die Bereitstellung und Vermittlung von Informationen für das Management und die betroffenen Organisationseinheiten, zur Vorstellung der neuen Vorgaben und Verfahren. Konkrete Arbeitspakete der Ausschreibung sind: - Paket Projektmanagement - Paket Sicherheits- & Resilienzpolitik - Paket Assetmanagement - Paket Risikomanagement der Informationssicherheit - Paket Risikomanagement in Vorbereitung auf die nationale Risikoanalyse - Paket Resilienzplan - Paket Incidentmanagement - Paket Geschäftskontinuität - Paket IT Service Continuity Management (ITSCM) - Paket Identitäts- und Zugriffsmanagement - Paket Sicherheitsbewusstsein - Paket Sicherheit im Personalwesen - Paket Physische Sicherheit - Paket Netzwerk - Paket Kryptographie - Paket System- und Netzwerküberwachnung - Paket Sichere Entwicklung - Paket Lieferkettensicherheit - Optionales Paket: Unterstützungsleistung IT-SIKAT Folgende Leistungen sind kein Teil dieser Ausschreibung: - Umsetzung baulicher Sicherheitsmaßnahmen. - Bereitstellung, Beschaffung oder Betrieb von Hardware oder Software. - Rechtsverbindliche Einzelfallprüfungen oder Rechtsberatungen, insbesondere o verbindliche Auslegungen gesetzlicher Pflichten nach NIS2 oder KRITIS-DachG, o Vertretung gegenüber Aufsichts- oder Meldestellen, o Erstellung rechtsverbindlicher Stellungnahmen. - Operative Unterstützung bei realen Sicherheitsvorfällen oder Krisenfällen, insbesondere o Incident-Response-Leistungen im Ereignisfall, o 24/7-Rufbereitschaften oder Notfallunterstützung, o operative Kommunikation mit Behörden oder externen Stellen. - Auditierungen, Zertifizierungen oder Konformitätsbewertungen, insbesondere o interne oder externe Audits nach KRITIS-DachG, ISO/IEC 27001, BSI IT-Grundschutz oder vergleichbaren Standards, o Prüfungen zur Feststellung der Rechts- oder Normkonformität, o Vorbereitung, Begleitung oder Durchführung von Prüfungen durch Aufsichts- oder Zertifizierungsstellen. - Erstellung, Fortschreibung, Vertiefung oder erneute Durchführung von Gap Analysen zu NIS2 oder KRITIS-DachG. - Durchführung einer Business Impact Analyse (BIA).