Attack Path Management

Description du marché

Gegenstand des vorliegenden Vergabeverfahrens ist ein Vertrag über eine jährliche Subscription mit einer Laufzeit von 3 Jahren mit einem Wirtschaftsteilnehmer gemäß § 21 Abs. 3 VgV zur Beschaffung der APM-Plattform von XM Cyber für die Sana IT Services GmbH sowie die in Vertragsanlage 3 benannten Abruf-berechtigten sowie Dienstleistungen für die Einführung, Implementierung und Betrieb der Plattform. Mit Zuschlagserteilung wird die Vereinbarung für alle in der Vertragsanlage 3 genannten Konzerngesellschaften der Sana Kliniken AG abgeschlossen Die bestehende Sicherheitsinfrastruktur des Sana Konzerns soll durch die APM-Lösung von XM Cyber erweitert und ergänzt wer-den. Das umfassende APM-Programm dient dazu, die Angriffsfläche kontinuierlich zu überblicken und die Sicherheitslage zu verbessern, indem potenziell problematische Bereiche (im Sinne der Sicherheit) erkannt werden. Ziel ist darüber hinaus, mit der Lösung die Schwachstellen in der IT-Infrastruktur zu analysieren und zu beheben. Sana erhält dadurch die Möglichkeit, Angriffspfade zu identifizieren und zu verwalten, um Sicherheitsrisiken zu minimieren . Die Lösung führt fortlaufende Schwachstellenbewertungen durch, um potenzielle Angriffspfade zu identifizieren, basierend auf aktuellen Bedrohungsdaten und -analysen. Durch Simulation von Angriffsszenarien erkennt die Lösung potenzielle Schwachstellen und bietet detaillierte Einblicke in mögliche Auswirkungen und Risiken. Mithilfe intelligenter Algorithmen priorisiert die Plattform Schwach-stellen nach ihrer Bedeutung und den potenziellen Auswirkungen auf die Sicherheit des Unternehmens. Es sollen der Schweregrad und das Schadenspotenzial jeder Bedrohung innerhalb der Umgebung bewertet werden, sodass eine Priorisierung der Risiken erfolgen kann. Damit können Ressourcen entsprechend effizienter eingesetzt werden. Mögliche Angriffswege müssen visualisiert werden, sodass komplexe Strukturen einfach zu erkennen sind. Die Lösung generiert aussagekräftige Berichte und Dashboards, die den aktuellen Si-cherheitsstatus widerspiegeln und Handlungsempfehlungen für die Behebung von Schwachstellen bieten. Für erkannte Bedrohungen müssen entsprechende Mitigationen oder Abhilfemaß-nahmen bzw. Lösungen aufgezeigt werden. Die zu beschaffende Software soll zudem vom Hersteller gepflegt werden; es soll ein Support Service während der Vertragslaufzeit zur Verfügung stehen, um eine reibungslose Integration und Nutzung der Lösung zu gewährleisten. Etwaige Aufwände zur Pflege der Umgebung (Backend) soll durch den Hersteller erfolgen, um Sana-Aufwände zu minimieren (SaaS). Außerdem soll die Software automatisiert auf den Assets (Ser-ver/Workstations) installiert und in deren Sicherheitsarchitektur implementiert werden. Cloud Infrastrukturen (Microsoft Azure) sollen ebenfalls mit angebunden und in die Analyse gesamtheitlich einbezogen werden. Es soll die Möglichkeit bestehen, nach Ablauf der Vertragslaufzeit ein Renewal (Vertragsverlängerung) der vorhandenen SaaS Lizenz anzubieten. Mit Zuschlagserteilung wird ein EVB-IT Leistungsvertrag ge-schlossen. Die Auftraggeber sind Empfänger von Fördermitteln aus dem Krankenhauszukunftsfonds und danach durch den Fördermittel-bescheid zur Einhaltung des Vergaberechts verpflichtet (Ausnahme: die als NON-KHZG benannten Abrufberechtigten). Einige Auftraggeber sind als öffentliche Auftraggeber im Sinne des GWB ohnehin an das (Kartell-) Vergaberecht gebunden. Die näheren Einzelheiten des konkreten Beschaffungsvorhabens ergeben sich aus den Vergabeunterlagen.

Pouvoir adjudicateur