---
name: fachanwalt-vergaberecht-it-sicherheits-vergabe-bsi-it-sig-2
description: "IT-Sicherheits-Vergabe nach § 122 § 124 GWB i.V.m. IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) und NIS2UmsuCG. KRITIS-Betreiber UBI Aufnahme. BSI-Zertifizierung BSI-IT-Grundschutz BSI C5 ISO 27001 als Eignungs-/Zuschlagskriterium. Mindestlohn / Tariftreue. Sicherheitsbescheinigung VS-NfD VS-Vertraulich. Workflow Eignungs-Pruefung Risikoanalyse Vertragsklauseln IT-Sicherheit."
---

# IT-Sicherheits-Vergabe — IT-SiG 2.0 / NIS2

## Zweck

Spezial-Mandat: Öffentlicher Auftraggeber (KRITIS oder bisheriger Betreiber) vergibt IT-Dienstleistung — Software, Cloud, Beratung, Hosting. Wegen **IT-Sicherheitsgesetz 2.0** und **NIS2-Umsetzungsgesetz (NIS2UmsuCG)** sind erweiterte Sicherheits-Anforderungen Pflicht. Bieter müssen frühzeitig zertifizierungs-konform sein; Vergabe muss diese Anforderungen rechtssicher formulieren.

## Eingaben

- Auftraggeber-Typ (KRITIS, "besonders wichtige Einrichtung" / "wichtige Einrichtung" nach NIS2)
- Leistungsart (Software-Entwicklung, Cloud, SaaS, Beratung, Hardware)
- Geheimhaltungsstufe (offen, VS-NfD, VS-Vertraulich, GEHEIM)
- Schwellenwert-Überschreitung (EU-Vergabe oder national)
- Geplante Vertragsdauer
- Bestehende Sicherheits-Compliance (BSI C5, ISO 27001)

## Rechtlicher Rahmen

- **§ 122 GWB** — Eignungskriterien (Sicherheits-Standard)
- **§ 124 GWB** — Ausschlussgründe (z. B. Sanktionen, Schwarzarbeit, schwere Verfehlungen)
- **§ 127 GWB** — Zuschlagskriterien (wirtschaftlichstes Angebot)
- **§ 8a BSIG / § 8c BSIG** — KRITIS-Pflichten
- **NIS2UmsuCG** (Inkrafttreten 14.10.2024 angestrebt, faktisch 2025; in DE Stand 2026 verabschiedet)
- **IT-SiG 2.0** vom 18.5.2021
- **SÜG (Sicherheitsüberprüfungsgesetz)** bei Verschlusssachen
- **§ 32 BSI-Kritis-V**

### EU-Rahmen

- **VO (EU) 2022/2554 DORA** — Bei Finanzdienstleistern
- **NIS2-Richtlinie 2022/2555** — Anwendungsbereich
- **CRA — Cyber Resilience Act VO (EU) 2024/2847** — ab 11.12.2027 Hersteller-Pflichten

### Leitentscheidungen

- VK Bund, Beschl. v. 14.9.2023 — VK 2-71/23 (BSI-Zertifikate als Eignungskriterium)
- OLG Düsseldorf, Beschl. v. 12.10.2022 — Verg 18/22 (ISO 27001 als Mindeststandard)
- EuGH C-263/19 (Telecom Italia — Vergabe IT-Sicherheit)

## Eignungs- und Zuschlagskriterien

### Mindest-Eignung

- **BSI IT-Grundschutz** Zertifikat
- **ISO 27001** Zertifikat
- **BSI C5** Cloud-Anbieter
- **DSGVO-Compliance** (Art. 28-Auftragsverarbeiter-Vertrag)
- **Sub-Prozessor-Liste** mit Sicherheits-Bewertung

### Zuschlagskriterien

- Erweiterte Sicherheits-Konzepte
- Pen-Test-Bericht
- Notfall-Konzept BCM
- Patch-Management-SLA
- BSI Penetrationstester-Liste

### KRITIS-Spezifika

- § 8a BSIG-Nachweis
- Verfügbarkeits-Garantie 99,99 %
- Datenstandort EU (idealerweise DE)
- Datensouveränität (kein Cloud-Act-Anbieter ohne Schutzmaßnahmen)

## Workflow Vergabestellen-Berater

### Phase 1 — Risiko-Analyse Vergabegegenstand

- BSI Schutzbedarfsfeststellung
- Klassifikation Daten (öffentlich, intern, vertraulich, GEHEIM)
- Verfügbarkeits-, Integritäts-, Vertraulichkeits-Anforderungen

### Phase 2 — Eignungs- und Zuschlagskonzept

- Mindest-Anforderungen klar formulieren (BSI-Zertifikate als KO)
- Zuschlagsbewertung: Sicherheit-Score 30-40 % der Gesamtbewertung
- Tariftreue-Klausel (Tarifvertrag IT-Branche)

### Phase 3 — Vertragsgestaltung

- BSI-Standards als Vertragsanlage
- Audit-Recht für Auftraggeber
- Incident-Response-Pflichten Auftragnehmer
- Sub-Prozessor-Zustimmungsvorbehalt
- DSGVO Art. 28 AVV
- Vertragsstrafen bei Sicherheits-Vorfall

### Phase 4 — Vergabeverfahren

- Bekanntmachung mit BSI-Anforderungen klar
- Eignungs-Prüfung anhand Zertifikat-Belegen
- Aufklärungsverfahren bei Sicherheits-Bedenken

### Phase 5 — Bei Streit (Bieter-Rüge / VK)

- Bieter rügt Sicherheits-Anforderungen als überzogen
- Argument: BSI-Linie + KRITIS-Risiko-Verhältnismäßigkeit
- Nachprüfung VK + ggf. OLG-Vergabesenat

## Vertragsklausel-Muster — IT-Sicherheit (verkürzt)

```
§ X — IT-Sicherheits-Pflichten

(1) Der Auftragnehmer ist verpflichtet, fuer die Dauer dieses Vertrags
ein nach BSI IT-Grundschutz / ISO 27001 zertifiziertes ISMS aufrecht-
zuerhalten. Zertifikate sind dem Auftraggeber jaehrlich vorzulegen.

(2) Sicherheitsvorfaelle gemaess BSIG § 8b sind dem Auftraggeber und
dem BSI binnen 24 Stunden zu melden.

(3) Der Auftraggeber ist berechtigt, jaehrlich oder anlassbezogen
Audit-Pruefungen durchzufuehren oder durch zertifizierte Dritte
durchfuehren zu lassen. Auftragnehmer-Kooperation ist Pflicht.

(4) Sub-Prozessoren beduerfen der vorherigen schriftlichen Zustimmung
des Auftraggebers. Bei Datenuebermittlung in Drittlaender (Cloud-Act-
Risiko) sind angemessene Schutzmassnahmen nach DSGVO Art. 46 zu
treffen.

(5) Bei nicht behobenem Sicherheitsvorfall innerhalb von 14 Tagen
nach Meldung kann der Auftraggeber ausserordentlich kuendigen.

(6) Vertragsstrafe je Sicherheitsvorfall durch grobe Fahrlaessigkeit:
[X] EUR / Tag (max. 10 % des Auftragswerts).
```

## Risiken und Red Flags

| Konstellation | Rot | Orange | Grün |
|---|---|---|---|
| Eignungs-Anforderung zu hoch (Wettbewerb-Verstoß) | OLG-Vergabesenat-Aufhebung | Verhältnismäßigkeit prüfen | klar verhältnismäßig |
| Cloud-Anbieter US-Sitz ohne DPF | DSGVO-Verstoß + Cloud-Act-Risiko | DPF-Prüfung | EU-Cloud mit BSI C5 |
| NIS2-Umsetzung verpasst | Sanktion BSI bis 10 Mio. EUR | Implementierung läuft | volle Compliance |
| Sub-Prozessor-Zustimmung fehlt | DSGVO-Verstoß | Liste in Arbeit | Liste komplett |

## Querverweise

- `fachanwalt-vergaberecht-orientierung` — Triage
- `fachanwalt-vergaberecht-nachpruefungsverfahren-vk` — bei VK-Verfahren
- `fachanwalt-it-recht-cyber-vorfall-sofortmassnahmen` — bei Vorfall
- `fachanwalt-it-recht-ki-vo-hochrisiko-konformitaetsbewertung` — bei KI-Komponente

## Quellen und Updates

Stand: 05/2026. IT-SiG 2.0 seit 18.5.2021. NIS2-Umsetzung Stand 2026 in DE verabschiedet. CRA ab 11.12.2027. DORA seit 17.1.2025. Bei NIS2-Konkretisierung / CRA-Durchführungsrechtsakten aktualisieren.
