Auftragsgegenstand ist ein Rahmenvertrag zur Beratung bei den Themen Cybersicherheits- und Resilienzstärkung. Konkretes Ziel ist die Herstellung einer vollumfänglichen Compliance, unter Berücksichtigung der spezifischen sektoralen Anforderungen, der Komplexität der heterogenen Infrastruktur und unternehmensspezifischen Faktoren, wie der Unternehmensgröße und -kultur. Insbesondere muss der Aspekt der Versorgungsicherheit (Erdgas) adressiert werden. Ein weiterer wesentlicher Bestandteil ist die Konsolidierung und Harmonisierung der aktuell bestehenden, weitgehend dezentral geprägten Sicherheits- und Resilienzlandschaft, bei gleichzeitiger Aufrechterhaltung der Trennung zwischen IT, OT und TK. Ebenso sind die einschlägigen Gesetze und Normen, wie das EnWG, KRITIS-DachG, die IT-Sicherheitskataloge für Gasnetze und Telekommunikation und der Stand der Technik zu beachten. Ziel des Rahmenvertrages ist die Entwickelung, Abstimmung und Unterstützung bei der Erstellung von wirksamen und nachhaltigen Liefergegenständen/ Governance-Dokumentationen wie z. B. Politiken, Strategien, Konzepte, Risikoanalysen, Playbooks, Arbeitsanweisungen etc.) zu den benannten Arbeitspaketen (siehe Beschreibung der Beschaffung) sowie ggf. Unterstützung bei deren Umsetzung.

RV Beratung Cybersicherheit- & Resilienzstärkung

Zur Erreichung der genannten Projektziele sind konkret folgende Anforderungen an den Dienstleister gestellt: Konkret muss der Dienstleister, neben projektmanagementspezifischen Leistungen, die folgen-den fachlichen Dienstleistungen erbringen: a) Auf Basis der bestehenden Unternehmensinformationen (Unternehmenspolitik, Strate-gien, Richtlinien, Verfahrensanweisungen, Arbeitsanweisungen, Prozessen, IT-/OT-Landschaft, Gap-Analysen BIA, Netzwerkpläne, Projektergebnisse etc.) wirksame und nachhaltige Liefergegenstände/ Governance-Dokumentationen (Politiken, Strate-gien, Konzepte, Risikoanalysen, Playbooks etc.) entwickeln, abstimmen und bei der Umsetzung unterstützen. Die Umsetzungsunterstützung umfasst, sofern in den genannten Teilprojekten nichts anderes angegeben ist, mindestens: aa) die Erstellung oder Anpassung von wirksamen und nachhaltigen Richtlinien, Verfahrensanweisungen, Arbeitsanweisungen, Prozessen (BPMN), etc., ab) die Definition von Rollen und Verantwortlichkeiten, insbesondere unter dem Aspekt von Segregation of Duties, und die Dokumentation in einer RACI-Matrix, ac) die Erarbeitung von aussagekräftigen Kennzahlen und KPIs, um die Kontrolle und Weiterentwicklung zu ermöglichen, ad) die Datenerhebung und Zusammenführung der dezentralen Fachinformationen in ein oder mehrere Systeme, ae) die Bereitstellung und Vermittlung von Informationen für das Management und die betroffenen Organisationseinheiten, zur Vorstellung der neuen Vorgaben und Verfahren. Konkrete Arbeitspakete der Ausschreibung sind: - Paket Projektmanagement - Paket Sicherheits- & Resilienzpolitik - Paket Assetmanagement - Paket Risikomanagement der Informationssicherheit - Paket Risikomanagement in Vorbereitung auf die nationale Risikoanalyse - Paket Resilienzplan - Paket Incidentmanagement - Paket Geschäftskontinuität - Paket IT Service Continuity Management (ITSCM) - Paket Identitäts- und Zugriffsmanagement - Paket Sicherheitsbewusstsein - Paket Sicherheit im Personalwesen - Paket Physische Sicherheit - Paket Netzwerk - Paket Kryptographie - Paket System- und Netzwerküberwachnung - Paket Sichere Entwicklung - Paket Lieferkettensicherheit - Optionales Paket: Unterstützungsleistung IT-SIKAT Folgende Leistungen sind kein Teil dieser Ausschreibung: - Umsetzung baulicher Sicherheitsmaßnahmen. - Bereitstellung, Beschaffung oder Betrieb von Hardware oder Software. - Rechtsverbindliche Einzelfallprüfungen oder Rechtsberatungen, insbesondere o verbindliche Auslegungen gesetzlicher Pflichten nach NIS2 oder KRITIS-DachG, o Vertretung gegenüber Aufsichts- oder Meldestellen, o Erstellung rechtsverbindlicher Stellungnahmen. - Operative Unterstützung bei realen Sicherheitsvorfällen oder Krisenfällen, insbesondere o Incident-Response-Leistungen im Ereignisfall, o 24/7-Rufbereitschaften oder Notfallunterstützung, o operative Kommunikation mit Behörden oder externen Stellen. - Auditierungen, Zertifizierungen oder Konformitätsbewertungen, insbesondere o interne oder externe Audits nach KRITIS-DachG, ISO/IEC 27001, BSI IT-Grundschutz oder vergleichbaren Standards, o Prüfungen zur Feststellung der Rechts- oder Normkonformität, o Vorbereitung, Begleitung oder Durchführung von Prüfungen durch Aufsichts- oder Zertifizierungsstellen. - Erstellung, Fortschreibung, Vertiefung oder erneute Durchführung von Gap Analysen zu NIS2 oder KRITIS-DachG. - Durchführung einer Business Impact Analyse (BIA).