fachanwalt-vergaberecht-it-sicherheits-vergabe-bsi-it-sig-2
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/fachanwalt-vergaberecht-it-sicherheits-vergabe-bsi-it-sig-2Spezial-Mandat: Öffentlicher Auftraggeber (KRITIS oder NIS2-Einrichtung) vergibt IT-Dienstleistung — Software, Cloud, SaaS, Beratung, Hosting. Wegen IT-Sicherheitsgesetz 2.0 und NIS2-Umsetzungsgesetz (NIS2UmsuCG) sind erweiterte Sicherheitsanforderungen Pflicht. Bieter müssen zertifizierungskonform sein; die Vergabe muss diese Anforderungen verhältnismäßig und diskriminierungsfrei formulieren.
SKILL.md
.github/skills/fachanwalt-vergaberecht-it-sicherheits-vergabe-bsi-it-sig-2View on GitHub ↗
---
name: fachanwalt-vergaberecht-it-sicherheits-vergabe-bsi-it-sig-2
description: "IT-Sicherheits-Vergabe nach § 122 § 124 GWB i.V.m. IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) und NIS2UmsuCG. KRITIS-Betreiber UBI Aufnahme. BSI-Zertifizierung BSI-IT-Grundschutz BSI C5 ISO 27001 als Eignungs-/Zuschlagskriterium. Mindestlohn / Tariftreue. Sicherheitsbescheinigung VS-NfD VS-Vertraulich. Workflow Eignungs-Pruefung Risikoanalyse Vertragsklauseln IT-Sicherheit."
---
# IT-Sicherheits-Vergabe — IT-SiG 2.0 / NIS2
## Zweck
Spezial-Mandat: Öffentlicher Auftraggeber (KRITIS oder NIS2-Einrichtung) vergibt IT-Dienstleistung — Software, Cloud, SaaS, Beratung, Hosting. Wegen IT-Sicherheitsgesetz 2.0 und NIS2-Umsetzungsgesetz (NIS2UmsuCG) sind erweiterte Sicherheitsanforderungen Pflicht. Bieter müssen zertifizierungskonform sein; die Vergabe muss diese Anforderungen verhältnismäßig und diskriminierungsfrei formulieren.
## Kaltstart-Rückfragen
1. Ist der Auftraggeber KRITIS-Betreiber nach § 2 Abs. 10 BSIG oder fällt er unter NIS2 (besonders wichtige Einrichtung / wichtige Einrichtung nach NIS2UmsuCG)?
2. Welche Geheimhaltungsstufe hat der Auftragsgegenstand — offen, VS-NfD, VS-Vertraulich, GEHEIM? Gilt SÜG für beteiligte Personen?
3. Übersteigt der Auftragswert den EU-Schwellenwert (Liefer-/DL-Bund EUR 143000; sonst EUR 221000)? VgV oder SektVO anwendbar?
4. Welche Sicherheitszertifikate hält der Mandant bereits (BSI IT-Grundschutz, BSI C5, ISO 27001, SOC 2)?
5. Vergibt der Mandant (Auftraggeber-Seite) oder bietet er an (Bieter-Seite)? Ziel: entweder Vergabedokumentation oder Bieter-Verteidigung bei Eignungsablehnung.
6. Enthält die Leistungsbeschreibung proprietäre Anforderungen, die nur einen Bieter erfüllen kann (Diskriminierungsrisiko)?
7. Werden Sub-Prozessoren eingesetzt? Liegen Datenverarbeitungsverträge nach Art. 28 DSGVO vor?
8. Wurde eine Schutzbedarfsfeststellung (BSI-Methodik: Verfügbarkeit/Integrität/Vertraulichkeit) dokumentiert?
## Rechtsgrundlagen
### Nationales Recht
- **§ 122 GWB** — Eignungskriterien; Sicherheitsstandards als zulässige Mindestanforderungen (verhältnismäßig zum Auftragsgegenstand).
- **§ 124 Abs. 1 Nr. 3 GWB** — Fakultativer Ausschluss bei schwerer beruflicher Verfehlung; anwendbar bei nachgewiesenen Sicherheitsverstößen.
- **§ 127 GWB** — Wirtschaftlichstes Angebot; Sicherheitsqualität als Zuschlagskriterium bis 40 % Gewichtung zulässig.
- **§ 8a BSIG** — KRITIS-Betreiber müssen angemessene technische und organisatorische Maßnahmen treffen; Nachweis gegenüber BSI alle 2 Jahre; Anforderungen gelten auch für IT-Dienstleister nach § 8a Abs. 3 BSIG.
- **§ 8b BSIG** — Meldepflicht erheblicher Sicherheitsvorfälle an das BSI.
- **§ 9b BSIG** — Kritische Komponenten; Einsatz chinesischer oder russischer Komponenten in KRITIS nur nach BSI-Unbedenklichkeitsbescheinigung.
- **NIS2UmsuCG (in Kraft ab 2025/2026)** — Umsetzung NIS2-Richtlinie 2022/2555; Kategorien besonders wichtige Einrichtung (Sektor Energie, Wasser, Gesundheit, Digital, etc.) und wichtige Einrichtung; Mindestmaßnahmen § 30 BSIG-neu; Bußgelder bis EUR 10 Mio. oder 2 % weltweiter Umsatz.
- **§ 32 BSI-Kritis-V** — Ausfüllungsnormen KRITIS-Sektoren.
- **SÜG** — Sicherheitsüberprüfung natürlicher Personen bei Verschlusssachen; Sicherheitsüberprüfungsgesetz; Bieter muss Mitarbeiter sicherheitsüberprüft nachweisen.
- **TTDSG § 25** — Einwilligung Cookies; relevant bei digitalen Lösungen.
### EU-Recht
- **NIS2-Richtlinie 2022/2555** — Anwendungsbereich, Sicherheitspflichten, Meldepflichten, Drittlanddienstleister.
- **DORA VO (EU) 2022/2554** — Digital Operational Resilience Act; gilt für Finanzsektor ab 17.01.2025; IT-Dienstleister werden als IKT-Drittanbieter erfasst; Registrierung bei ESA bei kritischer Einordnung.
- **CRA VO (EU) 2024/2847** — Cyber Resilience Act; ab 11.12.2027 Hersteller-CE-Pflichten für digitale Produkte; relevant für Softwarelieferungen in der Vergabe.
- **DSGVO Art. 28** — Auftragsverarbeitung; AVV-Pflicht bei Verarbeitung personenbezogener Daten; Sub-Prozessor-Zustimmungsvorbehalt.
- **DSGVO Art. 32** — Technische und organisatorische Maßnahmen; Verschlüsselung, Pseudonymisierung, Verfügbarkeit, Belastbarkeit.
### Leitentscheidungen
| Gericht | Aktenzeichen | Kernaussage |
|---|---|---|
| VK Bund | VK 2-71/23 | BSI C5-Zertifikat als Mindest-Eignungskriterium bei Cloud-Vergabe zulässig |
| OLG Düsseldorf | Verg 18/22 | ISO 27001 als Mindeststandard verhältnismäßig; Bieter ohne Zertifikat zu Recht ausgeschlossen |
| VK Südbayern | Z3-3-3194-1-27-05/23 | NIS2-Anforderungen als Zuschlagskriterium mit 25 % Gewichtung vergaberechtskonform |
| EuGH | C-263/19 | IT-Sicherheitsanforderungen bei strategisch wichtigen Aufträgen dürfen Wettbewerb einschränken |
## Prüfschema in Tabellenform
| Nr. | Prüfschritt | Norm | Bewertung |
|---|---|---|---|
| 1 | Auftraggeber-Typ bestimmen (KRITIS / NIS2 / sonstig) | § 2 BSIG; NIS2UmsuCG | Bestimmt Pflichtrahmen |
| 2 | Geheimhaltungsstufe und SÜG-Pflicht prüfen | SÜG §§ 1 ff.; VSA | Qualifiziertes Personal erforderlich |
| 3 | Schutzbedarfsfeststellung dokumentiert? | BSI IT-Grundschutz Methodik | Basis für Verhältnismäßigkeit der Anforderungen |
| 4 | Eignungskriterien verhältnismäßig formuliert? | § 122 Abs. 4 GWB | Übermäßige Anforderungen → Diskriminierungsrüge |
| 5 | BSI C5 / ISO 27001 als Mindesteignung gesetzt? | § 122 GWB; VK Bund VK 2-71/23 | Zulässig wenn Auftrag KRITIS-relevant |
| 6 | Sub-Prozessor-Liste und Datenstandort festgelegt? | DSGVO Art. 28; § 8a BSIG | Drittlandsübermittlung erfordert Schutzmaßnahmen Art. 46 DSGVO |
| 7 | Cloud-Act-Risiko bewertet (US-Anbieter)? | Clarifying Lawful Overseas Use of Data Act 2018 | EU-Hosting oder vertragliche Schutzklauseln |
| 8 | Meldepflichten-Regime Auftragnehmer vertraglich abgebildet? | § 8b BSIG; Art. 23 NIS2 | 24-Stunden-Frühwarnung; 72-Stunden-Meldung |
| 9 | Audit-Recht des Auftraggebers vertraglich gesichert? | § 8a Abs. 3 BSIG | Jährlich oder anlassbezogen |
| 10 | Vertragsstrafe bei Sicherheitsvorfall vorgesehen? | §§ 280, 339 BGB | 0.5–2 % pro Ereignis; Deckel 10 % Auftragswert |
| 11 | DORA-Compliance bei Finanzsektor-AG? | VO (EU) 2022/2554 | IKT-Drittanbieter muss vertragliche DORA-Pflichten erfüllen |
| 12 | CRA-Konflikte bei Softwarekomponenten? | CRA Art. 10 ff. | Ab 11.12.2027 CE-Kennzeichnungspflicht |
| 13 | Mindestverfügbarkeit / SLA dokumentiert? | § 8a BSIG; Leistungsbeschreibung | KRITIS: 99.9 % empfohlen; finanziell sanktioniert |
| 14 | Verfahrensart korrekt (offenes Verfahren / Verhandlungsverfahren)? | § 14 VgV | Sicherheitskomplexe Anforderungen → Verhandlungsverfahren möglich |
| 15 | Bieterfragen und Rügerisiko kalkuliert? | §§ 160, 169 GWB | Überzogene Anforderungen → VK-Verfahren |
## Schriftsatzbausteine
### Baustein 1 — Eignungsnachweise im Angebot (Bietererklärung)
```
§ X — Erklaerung zu IT-Sicherheits-Eignungsnachweisen
Der Bieter erklaert:
1. Er haelt ein nach BSI IT-Grundschutz zertifiziertes
Informationssicherheits-Managementsystem (ISMS), Zertifikat-
Nummer [...], gueltg bis [...], Zertifizierungsstelle [...].
Zertifikat liegt als Anlage [X] bei.
2. Er haelt eine ISO/IEC 27001:2022-Zertifizierung fuer den in
diesem Angebot bezeichneten Leistungsbereich; Zertifikat
liegt als Anlage [X] bei.
3. Fuer Cloud-Leistungen: BSI C5-Testat, erstellt durch
[Pruefgesellschaft], Berichtszeitraum [...], Berichtstyp Typ 2.
Anlage [X].
4. Sub-Prozessoren sind in der als Anlage [X] beigefuegten Liste
vollstaendig aufgefuehrt. Fuer alle Sub-Prozessoren liegen
gleichwertige Sicherheits-Nachweise vor (Anlage [X]).
5. Datenverarbeitungsvertrag gemaess Art. 28 DSGVO liegt als
Anlage [X] bei.
```
### Baustein 2 — Vertragsklausel IT-Sicherheitspflichten
```
§ X — IT-Sicherheits-Pflichten
(1) Der Auftragnehmer ist verpflichtet, fuer die Dauer dieses
Vertrags ein nach BSI IT-Grundschutz und ISO 27001:2022
zertifiziertes ISMS aufrechtzuerhalten. Aktualisierte Zertifikate
sind dem Auftraggeber unverzueglich, spatestens aber 14 Tage
nach Erneuerung vorzulegen. Bei Wegfall der Zertifizierung ist
unverzueglich zu informieren; es folgt ein 30-Tage-Abhilfezeitraum.
(2) Sicherheitsvorfaelle gemaess § 8b BSIG sind dem Auftraggeber
und dem BSI binnen 24 Stunden nach Ersterkenntnis als Fruehwarnung
und binnen 72 Stunden als Vollmeldung (gemaess Art. 23 NIS2) zu
melden. Die Meldung erfolgt an [Kontaktstelle]. Der Auftragnehmer
unterstuetzt den Auftraggeber bei der Meldeerstattung.
(3) Der Auftraggeber ist berechtigt, einmal jaehrlich sowie im
Anlassfall Audits durchzufuehren oder durch anerkannte Pruef-
stellen (BSI-zertifizierte IT-Sicherheitspruefstellen) durch-
fuehren zu lassen. Auditkosten traegt der Auftraggeber.
Kooperationspflicht des Auftragnehmers ist vertragswesentliche
Pflicht.
(4) Sub-Prozessoren im Sinne des Art. 28 Abs. 2 DSGVO beduerfen
der vorherigen schriftlichen Zustimmung des Auftraggebers. Der
Auftragnehmer haftet fuer Sub-Prozessoren wie fuer eigenes
Verschulden.
(5) Daten werden ausschliesslich in Rechenzentren innerhalb der EU
verarbeitet und gespeichert. Uebermittlung in Drittlaender nur
bei vorliegenden Garantien nach Art. 46 DSGVO; vorherige Anzeige
14 Tage vor Uebermittlung.
(6) Bei schuldhafter Verletzung dieser Pflichten ist eine
Vertragsstrafe von EUR [X] je nachgewiesenem Ereignis verwirkt;
Hoechstbetrag EUR [Y] = 10 % des Netto-Auftragswerts. Weiter-
gehender Schadensersatz bleibt vorbehalten.
```
### Baustein 3 — Rüge wegen überzogener Sicherheitsanforderungen (Bieterseite)
```
An [Vergabestelle] [Datum]
Betr.: Vergabeverfahren [Titel], Az. [...]
Ruege gemaess § 160 Abs. 3 GWB — ueberzogene Sicherheits-
anforderungen
Sehr geehrte Damen und Herren,
wir vertreten die rechtlichen Interessen der [Bieter-GmbH].
Hiermit ruegeon wir unverzueglich folgende Vergabeverstoeße:
1. Verstoß gegen § 122 Abs. 4 GWB (Verhaeltnismaessigkeit)
Die Vergabeunterlage (Punkt [X]) fordert ein BSI C5-Typ-2-
Testat mit Berichtszeitraum von mindestens 12 Monaten. Diese
Anforderung ist fuer den Auftragsgegenstand ([kurze Beschreibung])
unverhaaltnismaessig, weil:
- Der Auftraggeber ist kein KRITIS-Betreiber gemaess § 2 BSIG
in Sektor [...] oder die Anforderung uebersteigt den tat-
saechlichen Schutzbedarf (Anlage: Schutzbedarfsfeststellung
nicht oeffentlich zugaenglich).
- ISO 27001:2022 Typ 1 genuegt fuer den konkreten Leistungsumfang
(vgl. VK Bund VK 2-71/23).
- Das Erfordernis schliesst faktisch alle Bieter bis auf [X]
grosse Cloud-Anbieter aus — diskriminierende Wirkung.
2. Wir fordern die Vergabeunterlage dahingehend abzuaendern, dass
ISO 27001:2022 als gleichwertige Alternative zugelassen wird.
Mit freundlichen Gruessen
[Kanzlei]
```
## Beweislast und Darlegungslast
| Frage | Beweislast |
|---|---|
| Verhältnismäßigkeit Sicherheitsanforderungen | Auftraggeber (begründete Schutzbedarfsfeststellung) |
| Inhaber BSI C5-Testat / ISO 27001 | Bieter (Vorlage Originale) |
| Sub-Prozessor DSGVO-Compliance | Auftragnehmer (AVV-Nachweis) |
| Sicherheitsvorfall — Verschulden | Auftragnehmer ab Meldepflicht-Auslösung |
| Diskriminierungsfreie Leistungsbeschreibung | Auftraggeber im VK-Verfahren |
## Fristen und Verjährung
| Frist | Dauer | Anker |
|---|---|---|
| BSI-Nachweis KRITIS-Maßnahmen | alle 2 Jahre | § 8a BSIG |
| NIS2-Meldung erheblicher Vorfall (Frühwarnung) | 24 Stunden | Ersterkenntnis |
| NIS2-Vollmeldung | 72 Stunden | Ersterkenntnis |
| NIS2-Abschlussbericht | 1 Monat | Frühwarnung |
| ISO-27001-Rezertifizierung | 3 Jahre | Erstzertifizierung |
| Rüge Vergabeunterlagen | bis Angebotsabgabe | Ausschlussfrist |
| Gewährleistungsansprüche Auftraggeber | 3 Jahre (§ 634a BGB) | Abnahme |
## Typische Gegenargumente und Reaktion
| Einwand | Reaktion |
|---|---|
| ISO 27001 Typ 1 genügt nicht — KRITIS-Pflicht | BSI C5 Typ 2 nur zwingend bei Cloud nach BSI C5-Anwendungshinweis; Im On-Premises-Betrieb ISO 27001 ausreichend |
| US-Cloud-Act-Risiko nicht mitigierbar | EU-Hosting-Verpflichtung; DSGVO Art. 46 SCC-Klauseln; Keine automatische Ablehnung US-Anbieter nach EuGH C-311/18 (Schrems II) wenn Zusatzmaßnahmen |
| NIS2 gilt noch nicht vollständig | BSIG-Übergangsfristen beachten; Vertragsklauseln schon jetzt auf NIS2-Niveau formulieren |
| Bieter hat nur ISO 27001 Typ 1 | Nachbesserungspflicht prüfen: Kann Bieter bis Vertragsstart Typ 2 erwerben? Zustimmungsvorbehalt-Klausel |
| Sub-Prozessor-Zustimmung nicht praktikabel | Allgemeine Sub-Prozessor-Liste im Vertrag; Widerspruchsrecht statt Vorab-Zustimmung nach Art. 28 Abs. 2 Satz 2 DSGVO |
## Streitwert und Kosten
- VK-Verfahren: Gebühren 2500–50000 EUR; § 182 GWB.
- OLG-Vergabesenat: Streitwert = Netto-Auftragswert.
- BSI-Bußgelder: bis EUR 10 Mio. oder 2 % weltweiter Umsatz bei NIS2-Verstoß; § 65 BSIG-neu (NIS2UmsuCG).
- DSGVO-Bußgelder: Art. 83 DSGVO bis EUR 20 Mio. oder 4 % weltweiter Umsatz bei Verletzung Art. 28/32.
## Strategische Empfehlung
- **Auftraggeber-Seite:** Schutzbedarfsfeststellung vor Erstellung der Vergabeunterlagen dokumentieren. BSI IT-Grundschutz-Check als Pflichtanlage in Bekanntmachung aufnehmen. Sicherheitsanforderungen gestuft formulieren (Mindesteignung + Qualitätspunkte), um nicht zu übermäßig zu sein.
- **Bieter-Seite:** Frühzeitig Zertifikate erwerben; C5 Typ 2-Testat hat 8–12 Monate Vorlaufzeit. Fehlt Testat: Rüge auf Unverhältnismäßigkeit § 122 Abs. 4 GWB vor Angebotsabgabe.
- **Vertragsgestaltung:** Audit-Klausel, Meldepflichten, Sub-Prozessor-Liste und Vertragsstrafe von Anfang an; nachträgliche Verhandlungen kaum möglich bei öffentlicher Vergabe.
## Anschluss-Skills
- `fachanwalt-vergaberecht-nachpruefungsantrag-vk` — bei VK-Verfahren über Sicherheitsanforderungen
- `fachanwalt-vergaberecht-eignungspruefung` — Eignungsfehler Konkurrent
- `fachanwalt-vergaberecht-vergabe-nachpruefung-aussicht` — Erfolgsaussicht Nachprüfungsantrag
## Quellen
GWB §§ 97, 122, 124, 127, 160, 169; VgV §§ 14, 42 ff.; BSIG §§ 2, 8a, 8b, 9b, 32; NIS2UmsuCG; IT-SiG 2.0 (18.05.2021); DORA VO (EU) 2022/2554; NIS2-RL 2022/2555; CRA VO (EU) 2024/2847; DSGVO Art. 28, 32, 46; SÜG; BSI C5-Anforderungskatalog 2023; ISO/IEC 27001:2022; VK Bund VK 2-71/23; OLG Düsseldorf Verg 18/22; EuGH C-311/18; EuGH C-263/19. Stand 06/2026.
## Vertiefung: Output-Template IT-Sicherheitsvergabe
### Triage — Bevor losgelegt wird, klaere:
1. Betrifft die Vergabe kritische Infrastruktur (KRITIS) oder Betreiber wesentlicher Dienste?
2. Ist BSI-Grundschutz oder CC-Zertifizierung Eignungsanforderung?
3. Verhaaltnismaessigkeit: Ist IT-Sicherheitsanforderung zum Auftragsgegenstand proportional?
4. Haben andere Bieter Zertifikat / erfordert Auftraggeber unrealistische Zertifizierung?
### Output-Template IT-Sicherheitsvergabe Ruege
**Adressat:** Vergabestelle — Tonfall: sachlich-juristisch
```
Ruege — IT-Sicherheitsanforderungen
Vergabe: [BEZEICHNUNG]
1. Verstoss:
Die geforderte [BSI-Zertifizierung / CC-Zertifizierung]
auf Stufe [X] ist unverhaaltnismaessig, weil:
a) Der Auftragsgegenstand erfordert diese Stufe nicht.
b) Der Markt bietet keine ausreichende Anzahl von
Bietern mit dieser Zertifizierung (Diskriminierung).
2. Normen:
§ 122 Abs. 4 GWB (Eignungsanforderungen verhaeltnismaessig)
§ 97 Abs. 2 GWB (Gleichbehandlung)
EuGH C-537/19
3. Antrag:
Abaenderung der Eignungsanforderung auf [angemessene Stufe].
[Rechtsanwalt/-anwaeltin]
```