(1)In Beschaffungsverfahren zur Einrichtung der EU-Cybersicherheitsreserve handelt der öffentliche Auftraggeber gemäß den in der Verordnung (EU, Euratom) 2024/2509 festgelegten Grundsätzen und gemäß den folgenden Grundsätzen: a) Sicherstellung, dass die von der EU-Cybersicherheitsreserve umfassten Dienste insgesamt betrachtet dazu führen, dass die EU-Cybersicherheitsreserve auch Dienste umfasst, die in allen Mitgliedstaaten durchgeführt werden können, wobei insbesondere nationale Anforderungen an die Erbringung solcher Dienste, auch in Bezug auf Sprache, Zertifizierung oder Akkreditierung, zu berücksichtigen sind; b) Sicherstellung des Schutzes der wesentlichen Sicherheitsinteressen der Union und ihrer Mitgliedstaaten; c) Sicherstellung, dass die EU-Cybersicherheitsreserve einen Mehrwert für die Union erbringt, indem sie zu den in Artikel 3 der Verordnung (EU) 2021/694 gesetzten Zielen beiträgt, einschließlich der Förderung der Entwicklung von Cybersicherheitskompetenzen in der Union.
(2)Bei der Beschaffung von Diensten für die EU-Cybersicherheitsreserve nimmt der öffentliche Auftraggeber die folgenden Kriterien und Anforderungen in die Beschaffungsunterlagen auf: a) Der Anbieter weist nach, dass sein Personal über ein Höchstmaß an beruflicher Integrität, Unabhängigkeit, Verantwortungsbewusstsein und die erforderlichen technischen Kompetenzen verfügt, um die Tätigkeiten in seinem betreffenden Bereich durchzuführen, und er stellt die Dauerhaftigkeit und Kontinuität des Fachwissens sowie die erforderlichen technischen Ressourcen sicher; b) der Anbieter sowie alle einschlägigen Tochterunternehmen und Unterauftragnehmer befolgen die geltenden Vorschriften zum Schutz von Verschlusssachen und verfügen über geeignete Vorkehrungen, darunter gegebenenfalls Vereinbarungen untereinander, um vertrauliche Informationen in Bezug auf den Dienst, insbesondere Beweismittel, Erkenntnisse und Berichte, zu schützen; c) der Anbieter legt ausreichende Nachweise dafür vor, dass seine Leitungsstruktur transparent ist und dass es nicht wahrscheinlich ist, dass sie seine Unparteilichkeit und die Qualität seiner Dienstleistungen beeinträchtigt oder Interessenkonflikte verursacht; d) der Anbieter verfügt über eine angemessene Sicherheitsüberprüfung, zumindest für das Personal, das für den Einsatz des Dienstes bestimmt ist, sofern ein Mitgliedstaat dies erfordert; e) der Anbieter stellt das entsprechende Sicherheitsniveau für seine IT-Systeme sicher; f) der Anbieter verfügt über die für die Unterstützung des beantragten Dienstes erforderliche Hardware und Software, welche keine bekannten ausnutzbaren Schwachstellen enthalten darf, im Hinblick auf sicherheitsbezogene Aspekte auf dem neuesten Stand ist und in jedem Fall allen geltenden Bestimmungen der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates (23) entspricht; g) der Anbieter kann seine Erfahrung mit der Erbringung ähnlicher Dienste für einschlägige nationale Behörden, in Sektoren mit hoher Kritikalität tätige Einrichtungen oder in sonstigen kritischen Sektoren tätige Einrichtungen nachweisen; h) der Anbieter kann den Dienst kurzfristig in den Mitgliedstaaten erbringen, in denen er ihn anbietet; i) der Anbieter kann den Dienst in einer oder mehreren Amtssprachen der Organe der Union oder eines Mitgliedstaats erbringen, die gegebenenfalls von Mitgliedstaaten oder von in Artikel 14 Absatz 3 Buchstaben b und c genannten Nutzern verlangt werden, in denen bzw. für die der Anbieter den Dienst anbietet; j) sobald ein europäisches System für die Cybersicherheitszertifizierung für verwaltete Sicherheitsdienste gemäß der Verordnung (EU) 2019/881 besteht, wird der Anbieter innerhalb von zwei Jahren nach dem Tag der Anwendung des Systems nach diesem System zertifiziert; k) der Anbieter sieht in seinem Angebot die Bedingungen für die Umwandlung nicht in Anspruch genommener Sicherheitsvorfall-Notdienste vor, die in eng mit der Reaktion auf Sicherheitsvorfälle zusammenhängende Dienste in Bezug auf die Abwehrbereitschaft wie Übungen oder Schulungen umgewandelt können.
(3)Für die Zwecke der Beschaffung von Diensten für die EU-Cybersicherheitsreserve kann der öffentliche Auftraggeber in enger Zusammenarbeit mit den Mitgliedstaaten gegebenenfalls zusätzliche Kriterien und Anforderungen entwickeln, die über die in Absatz 2 genannten hinausgehen.
Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 15.01.2025
Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.
