Bundesamt für Sicherheit in der Informationstechnik

M 2.551 Durchführung eines geeigneten und rechtskonformen Vergabeverfahrens

Verantwortlich für Initiierung: Leiter Organisation

Verantwortlich für Umsetzung: Fachverantwortliche

Für ein Vergabeverfahren zur Beschaffung einer Standard- oder Individualsoftware kann es eine Reihe von Vorgaben geben, die zu beachten sind. Während dies im Bereich von Unternehmen meistens eigene Vorgaben oder Konzernrichtlinien sind, sind für die öffentliche Hand in Deutschland die folgenden Vorgaben zu berücksichtigen:

  • Vergabeordnung der Länder und des Bundes (insbesondere die Vergabeordnung für Leistungen (VOL) und die Vergabeordnung für freiberufliche Leistungen (VOF)). Diese regeln detailliert, wie (zum Beispiel als Freihandvergaben, öffentliche Ausschreibungen etc.) und in welchen Schritten Vergabeverfahren durchzuführen sind.
  • Mindestanforderungen der Rechnungshöfe zum Einsatz der Informations- und Kommunikationstechnik. Diese beschreiben die Vorgaben der Rechnungshöfe für Anwendungen, mit denen Mittel der öffentlichen Hand verwaltet werden.

Jede Institution sollte im Vorfeld von Beschaffungen geklärt haben, welche rechtlichen oder sonstigen Rahmenbedingungen dabei zugrunde zu legen sind. Für Beschaffungen und Auftragsvergaben sollte es definierte Prozesse und festgelegte Ansprechpartner in der Institution geben (siehe M 2.547 Ermittlung und Dokumentation der Rechtsgrundlagen für Anwendungen ).

In jedem Falle ist es sinnvoll, frühzeitig zu klären, welche Rolle Zertifikate bei der Vergabeentscheidung spielen sollen. Dazu gehören Zertifikate, die die Sicherheit von Produkten bewerten wie die Common Criteria, solche, die die Managementsysteme bewerten, wie das Zertifikat " ISO 27001 auf Basis IT-Grundschutz", und auch Personenzertifikate (siehe M 2.66 Beachtung des Beitrags der Zertifizierung für die Beschaffung ).

Prüffragen:

  • Entsprechen Planung und Durchführung des Vergabeverfahrens den bestehenden Vorgaben?

Stand: 14. EL Stand 2014