Beratungs- und Unterstützungsleistung für das Informationssicherheitsmanagement der KV Nordrhein

Die KVNO gehört mit rund 24.000 Mitgliedern zu den größten Kassenärztlichen Vereinigungen im Bundesgebiet. Um den ihr übertragenen Gesetzesauftrag leistungs- und bedarfsgerecht nachkommen zu können, ist eine moderne und für die jeweiligen Anforderungen skalierbare IT-Infrastruktur erforderlich. Nur durch eine hohe Automatisierung und optimale Verzahnung von IT-gestützten Verfahren kann die KVNO ihren Mitgliedern ein optimales Leistungsportfolio anbieten. Dieser Anspruch ist gekoppelt mit der Erfordernis, neben einer bedarfsgerechten Bereitstellung von IT-Dienstleistungen auch die gesetzlichen Anforderungen an den Datenschutz sowie Best Practices hinsichtlich der Informationssicherheit zu beachten. Die KVNO trägt diesem Anspruch dadurch Rechnung, dass sie ein zertifiziertes Informationssicherheitsmanagementsystem nach ISO 27001 aufgebaut hat. Weiterhin orientiert sich die KVNO an den IT-Sicherheitsstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Leiter der Stabsstelle "Informationssicherheit und Notfallmanagement" ist als Informationssicherheitsbeauftragter zuständig für alle Belange der Informationssicherheit innerhalb der KVNO. Er hat die Aufgabe, alle sicherheitsrelevanten Maßnahmen und Regelungen der KVNO zu planen, zu steuern und zu kontrollieren. Der Informationssicherheitsbeauftrage unterstützt den Vorstand und die Geschäftsführung bei ihren Aufgaben bezüglich der Informationssicherheit. Der Informationssicherheitsbeauftragte ist in seiner Rolle der Geschäftsführung der KVNO direkt unterstellt und berichtet direkt an diese. Zur Erfüllung der im Rahmen des IT-Sicherheitsprozesses notwendigen Aufgaben benötigt der Informationssicherheitsbeauftragte eine kompetente Beratung und Unterstützung im Informationssicherheitsmanagement sowie ein, zur sicherheitstechnischen Untersuchung von IT-Systemen, notwendiges Spezialwissen. Der Auftragnehmer muss in der Lage sein, die folgenden Beratungs- und Unterstützungsleistungen zur Informationssicherheit auf Anforderung zu erbringen: 1 Informationssicherheitsmanagement - Unterstützung bei der Aufrechterhaltung der ISO 27001 Zertifizierung - Unterstützung bei der Erstellung und Fortschreibung von Richtlinien und Reglungen zur Informationssicherheit - Durchführung von ISMS-Audits im Rahmen der ISO 27001 Zertifizierung - Unterstützung und Begleitung der externen ISO 27001 Audits (jeweils Mai/Juni) vor Ort bei der KV an den Standorten Düsseldorf und Köln. 2 Notfallmanagement - Beratung bei der Weiterentwicklung des Notfallmanagements (BSI-Standards 200-4 / ISO 22301: Business Continuity Management). - Planung, Begleitung und Review von Notfallübungen - Planung und Durchführung von Business Impact Analysen - Erstellung von Notfallhandbüchern und prozessspezifischen Geschäftsfortführungsplänen. 3 IT-Sicherheitskonzepte und -Standards - Erstellung und Weiterentwicklung von IT-Sicherheitskonzepten auf Basis des BSI IT-Grundschutz (BSI-Standard 200-2) sowie der ISO 27001. - Durchführung von Basis-Sicherheits-Checks sowie von Risikoanalysen nach ISO 27005 und BSI 200-3. - Überarbeitung/Erstellung von IT-Sicherheitsrichtlinien. 4 Durchführung von Penetrationstest - Durchführung von Penetrationstest gemäß anerkannten Best-Practice Vorgehen (BSI-Studie "Durchführungskonzept für Penetrationstests", OWASP) 5 Unterstützung bei der Herstellung einer NIS 2 Compliance - Fit-Gap-Analyse zur Vorbereitung auf eine NIS-2 Compliance. - Unterstützung bei der Umsetzung erforderlichen Maßnahmen und Konzepte 6 Unterstützung bei der Herstellung einer C5-Compliance - Um perspektivisch die Anforderungen an den C5 -Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) des BSI zu erfüllen, sind entsprechende Beratungsleistungen zu erbringen. - Fit-Gap-Analyse zur Vorbereitung auf eine C5-Compliance. 7 Definition von Sicherheitsanforderungen beim Einsatz von KI - Definition von Sicherheitsmaßnahmen für Leistungsbeschreibungen im Rahmen von Ausschreibungsverfahren. - Um einen sicherheitskonformen Einsatz von KI-Lösungen zu erreichen, sind entsprechende Beratungsleistungen zu erbringen. Alle mündlichen und schriftlichen Kommunikationen, Berichte und Dokumentationen müssen in deutscher Sprache verfasst werden. Fachbegriffe und technische Nachweise sind hiervon ausgenommen und können in Ihrer Ursprungsprache genutzt werden und bedürfen keiner Übersetzung.

Vergabekammer Westfalen

Vergeben am: 26.03.2026

BKS award notice d1f8f707-bb78-4a13-ac5c-43422acb896f

msg systems AG

Vergeben am: 26.03.2026

BKS award notice d1f8f707-bb78-4a13-ac5c-43422acb896f