Interessierte Unternehmen sind eingeladen, bis 22.05.2026, 12:00 Uhr an die Kontaktstelle daniel.bollhorst@ooeg.at ihr Interesse zu bekunden. Dies erfolgt durch Übermittlung einer formlosen Interessensbekundung mit dem Betreff “Markterkundung (RFI) Lieferleistungen und Dienstleistungen im Bereich ISDS Risikomanagement Software (IRIS)“ an oben genannte Email-Adresse. Im Anschluss an die Interessensbekundung plant die Oberösterreichische Gesundheitsholding GmbH, interessierten Unternehmen weitere Informationen zur Verfügung zu stellen, zu denen diese in weiterer Folge Rückmeldungen und Musterunterlagen übermitteln können. Die Oberösterreichische Gesundheitsholding GmbH behält sich vor, mit interessierten Unternehmen in Dialog zu treten. Das in dieser Vorinformation als „Voraussichtlicher Tag der Veröffentlichung der Auftragsbekanntmachung“ angeführte Datum dient lediglich als „Platzhalter“. Darüber hinaus weist die Oberösterreichische Gesundheitsholding GmbH darauf hin, dass alle Informationen, die von ihr im Zuge der Markterkundung übermittelt bzw. zur Verfügung gestellt werden, rein vorläufigen und unverbindlichen Charakter haben und die Oberösterreichische Gesundheitsholding GmbH daher in ihren Dispositionsmöglichkeiten in Hinblick auf eine künftige Vergabe in keiner Weise beschränken.

Markterkundung (RFI) Lieferleistungen und Dienstleistungen im Bereich ISDS Risikomanagement Software (IRIS)

Die OÖG benötigt aus heutiger Sicht Lieferleistungen und Dienstleistungen im Bereich ISDS Risikomanagement Software (IRIS). Die Markterkundung dient der Überprüfung des Marktes (Recherche). Nach Beendigung der Markterkundung evaluiert die OÖG die Ergebnisse der Markterkundung und entscheidet, ob bzw. inwieweit die von der Markterkundung umfassten Leistungen vom Markt bezogen werden sollen und ob gegebenenfalls ein Vergabeverfahren zum Abschluss einer Rahmenvereinbarung oder eines Rahmenvertrags zum Bezug von ebendiesen Leistungen eingeleitet werden soll. Im Rahmen der Markterkundung soll insbesondere erhoben werden, ob und unter welchen Bedingungen Unternehmen am Markt nachfolgende Tätigkeiten im Bereich Anschaffung (Lieferleistung), Weiterentwicklung nach Anforderung des AG (Dienstleistung) sowie Betrieb (Dienstleistung) im oben angeführten Bereich durchführen können. Umfang: Konkret abgefragt werden: Entwicklung, Lieferung, Installation, Schnittstellenanbindung, Inbetriebnahme, Datenmigration, Lizenzierung, Schulung, Betrieb, Wartung, Update, Funktionserweiterung, Support (LVL2) und Backup einer Software. Ziele: Die OÖG (Oberösterreichische Gesundheitsholding) führt eine Markterkundung zu Lieferleistungen und Dienstleistungen im Bereich ISDS Risikomanagement Software (IRIS) durch. Die geplante Softwarelösung soll das CISO-Team der OÖG beim Betrieb eines Informationssicherheitsmanagement-Systems (ISMS) sowie eines Datenschutzmanagementsystems (DSMS) unterstützten und dabei der effizienten Abwicklung von Compliance-Tasks, Risikomanagement, Maßnahmenprozessen und Reporting in den Bereichen Informationssicherheit (ISO 27001), Datenschutz (DSGVO), Netz- und Informationssystemsicherheit (NIS) sowie der KI-Compliance (KI-Verordnung) dienen. Ziel ist es, Assets und Services strukturiert abzubilden, Risiken nachvollziehbar zu bewerten, Maßnahmen wirksam zu steuern und regulatorische Anforderungen (u. a. DSGVO, NIS, und KI-Verordnung, ISO 27001) konsistent nachzuweisen. Funktionalitäten (fachlich): Im Bereich Asset-Management ermöglicht die Lösung die hierarchische Modellierung und Klassifizierung von Assets, inklusive Abhängigkeitsmapping, Verantwortlichkeiten sowie Versionierung. Darauf aufbauend unterstützt das Risikomanagement sowohl asset- und servicebasierte Risikoanalysen (z. B. Bedrohungs-/Schwachstellen-Kombinationen) als auch szenariobasierte Bewertungen entlang von Angriffsketten (inkl. Business-Impact). Wünschenswert sind frei konfigurierbare Risikomatrizen, eine automatisierte Risikoaggregation sowie die Dokumentation von Annahmen und Bewertungen. Für die Schutzbedarfsanalyse müssen Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit) ermittelt und vererbt werden können; zudem ist die Definition von Bedrohungsklassen vorzusehen. Das Maßnahmenmanagement umfasst die Zuordnung von Kontrollen zu Assets und Szenarien, die Status- und Wirksamkeitsverfolgung sowie workflowgestützte, konfigurierbare Benachrichtigungen. Datenschutz- und Compliance-Management: Die Software soll die Verwaltung von Verarbeitungstätigkeiten nach Art. 30 DSGVO, die Durchführung von Datenschutz-Folgenabschätzungen (DSFA), einen Betroffenenrechte-Workflow sowie eine revisionssichere Ablage unterstützen. Zusätzlich wird ein Lieferantenmanagement zur Klassifizierung von Dienstleistern und zur Audit-Dokumentation benötigt. Für KI-Compliance ist ein spezifisches Management von KI-Systemen gemäß regulatorischen Anforderungen (u. a. Risikokategorien und Grundrechte-Folgenabschätzung) bereitzustellen. Normen, Reporting und Integration (technisch): Vorgesehen ist die native Unterstützung und das Mapping gängiger Standards und Frameworks, u. a. ISO 27001, ISO 80001, NISG, ITIL, BSI IT‑Grundschutz, NIST sowie KI-Verordnung der EU. Das System stellt ein umfassendes Reporting bereit (z. B. ISMS-Management-Berichte, Auditberichte, SoA, GAP-Analysen und gesetzlich geforderte Verzeichnisse) inklusive Export in PDF, DOCX und XLSX. Technisch relevant sind die Anbindung an Bestandssysteme via REST API (insb. CMDB-Import) sowie die Unterstützung von Single Sign-On (SSO) auf Basis der bestehenden IdP-Lösung (On-Prem AD bzw. Entra ID). Die Lösung muss zudem eine revisionssichere Versionierung sämtlicher Daten und Nachweise sicherstellen und alle relevanten Datenschutzvorgaben (DSGVO) erfüllen.