Behörden und KRITIS-Betreiber stehen vor einer doppelten Herausforderung: Sie müssen moderne Cybersecurity-Lösungen beschaffen und dabei gleichzeitig das Vergaberecht einhalten. Wir zeigen, welcher Rechtsrahmen gilt, wie Anforderungen strukturiert werden und welche Fehler in der Praxis regelmäßig teuer werden.
Zuletzt aktualisiert: Mai 2026
Wer in Deutschland öffentliche Gelder für Cybersecurity ausgibt, bewegt sich gleichzeitig in zwei regulatorischen Welten: dem Vergaberecht und dem IT-Sicherheitsrecht. Beide Seiten stellen Anforderungen, die sich gegenseitig bedingen. Die wichtigsten Treiber im Überblick:
Erweitert den Kreis der KRITIS-Betreiber, führt neue Meldepflichten ein und verpflichtet Unternehmen im besonderen öffentlichen Interesse (UBI) zu Sicherheitsmaßnahmen. Für Beschaffer relevant: Die geforderten Maßnahmen müssen nachweislich im LV verankert werden.
Das nationale Umsetzungsgesetz zur EU-NIS2-Richtlinie weitet die Pflichten auf rund 30.000 Einrichtungen aus, darunter viele Behörden und kommunale Unternehmen. Risikomanagementmaßnahmen nach § 30 BSIG n.F. sind nun Pflicht, nicht Kür.
Das neue Dachgesetz für kritische Anlagen schreibt physische und digitale Resilienzmaßnahmen vor. Betreiber müssen Risikoanalysen durchführen und Abhilfemaßnahmen dokumentieren. Cybersecurity-Beschaffungen sind Teil der Nachweispflicht.
Für Bundesbehörden verbindlich, für andere öffentliche Stellen faktisch maßgeblich: BSI-Mindeststandards zur sicheren Nutzung von Webdiensten, Cloud-Diensten und zur Protokollierung definieren konkrete technische Anforderungen, die ins LV überführt werden müssen.
Aus unserer Projekterfahrung gilt: Behörden, die den Rechtsrahmen frühzeitig als Anforderungsquelle nutzen, sparen später erheblichen Aufwand. Wer NIS2-Pflichten erst nach Zuschlagserteilung in den Vertrag nachverhandeln möchte, steht rechtlich auf dünnem Eis.
Cybersecurity-Leistungen sind in der Regel komplexe Dienstleistungen mit hohem Beratungsanteil. Das hat direkte Auswirkungen auf die Wahl der Vergabeart.
| Schwellenwert | Vergabeverordnung | Typische Verfahren |
|---|---|---|
| Unter 221.000 € netto | UVgO | Öffentliche Ausschreibung, Verhandlungsvergabe mit WB |
| Ab 221.000 € netto | VgV (EU-weit) | Offenes Verfahren, Verhandlungsverfahren mit öTB |
| Geheimschutzbedarf | VSVgV | Beschränkte Ausschreibung, Sicherheitsüberprüfung Bieter |
Verhandlungsverfahren bei komplexen Lösungen: Für Cybersecurity-Dienste wie SOC-as-a-Service, MDR oder SIEM-Betrieb empfehlen wir das Verhandlungsverfahren mit Teilnahmewettbewerb oberhalb der EU-Schwelle. Die Leistung lässt sich in der Regel nicht so präzise beschreiben, dass ein offenes Verfahren ohne Verhandlungsrunde zu einem belastbaren Angebot führt. Vergabestellen, die auf das offene Verfahren bestehen, riskieren entweder unvergleichbare Angebote oder eine Ausschreibung, die technisch so eng gefasst ist, dass faktisch nur ein Bieter antworten kann.
Rahmenverträge nutzen: Für wiederkehrende Leistungen wie Penetrationstests, Schwachstellen-Scanning oder Security-Awareness-Schulungen bietet sich ein Rahmenvertrag nach § 21 VgV an. Das spart Ressourcen bei Folgebeschaffungen und schafft Planungssicherheit auf beiden Seiten.
Geheimschutzrelevante Vergaben (VSVgV): Wer IT-Sicherheitslösungen für Verschlusssachen beschafft, unterliegt der VSVgV. Das bedeutet unter anderem: nur sicherheitsüberprüfte Bieter dürfen teilnehmen, und für Unterauftragnehmer gilt dasselbe. Diese Besonderheit muss bereits bei der Markterkundung berücksichtigt werden, da der Bietermarkt erheblich kleiner ist.
Sobald ein IT-Sicherheitsauftrag den Zugang zu Verschlusssachen ab der Stufe VS-VERTRAULICH einschließt oder die Erstellung solcher Dokumente erfordert, gilt nicht mehr das klassische Vergaberecht, sondern die Vergabeverordnung Verteidigung und Sicherheit (VSVgV). VS-NfD-Aufträge bleiben unter UVgO oder VgV, unterliegen aber eigenen internen Sicherheitsanforderungen. Die Konsequenzen für Verfahrensplanung und Bietermarkt sind in beiden Fällen erheblich: Der Auftraggeber muss aktiv entscheiden, auf welcher VS-Stufe ein Vorhaben einzuordnen ist, bevor er das Vergabeverfahren wählt.
Wichtig: Der VS-Grad eines Auftrags wird nicht automatisch festgelegt. Als Auftraggeber müssen Sie aktiv entscheiden, ob und auf welcher Stufe Ihr Vorhaben VS-Relevanz hat. Diese Entscheidung prägt das gesamte Vergabeverfahren.
VS-Stufen und ihre Konsequenzen für Auftraggeber
| VS-Stufe | Bedeutung | Geheimschutz-Zuständigkeit | Sicherheitsüberprüfung |
|---|---|---|---|
| VS-NfD | Nur für den Dienstgebrauch | Ressort-intern, kein BMWK | Keine SÜG-Pflicht (interne Vertrauensprüfung) |
| VS-VERTRAULICH | Kenntnis könnte staatliche Interessen schädigen | BMWK-Geheimschutzbetreuung verpflichtend | Ü1 (3–6 Monate) |
| GEHEIM | Schwere Schäden für die Bundesrepublik möglich | BMWK-Geheimschutzbetreuung verpflichtend | Ü2 (6–12 Monate) |
| STRENG GEHEIM | Existenzbedrohende Schäden möglich | Höchste Sicherheitsstufe, mehrere Behörden | Ü3 (ca. 12+ Monate) |
Geheimschutzbetreuung durch das BMWK
Ab VS-VERTRAULICH braucht der Auftragnehmer eine Geheimschutzbetreuung durch das Bundesministerium für Wirtschaft und Klimaschutz (BMWK). Das ist kein einmaliger Akt, sondern ein dauerhafter Status mit erheblichen Anforderungen an die Unternehmensorganisation:
Für Auftraggeber bedeutet das konkret: Wer einen VS-VERTRAULICH-Auftrag vergeben will, muss den Vorlauf einplanen. Wer das tut, bekommt am Ende genau den Bieterkreis, den er will: qualifizierte Unternehmen mit nachgewiesener Geheimschutzstruktur. Wer es nicht tut, veröffentlicht eine Ausschreibung, auf die faktisch niemand antworten kann, und riskiert eine Rüge wegen diskriminierender Anforderungen.
Sicherheitsüberprüfungen nach SÜG: Ü1, Ü2, Ü3
Neben der Geheimschutzbetreuung auf Unternehmensebene (BMWK) müssen auch die Personen, die tatsächlich Zugang zu Verschlusssachen erhalten, individuell überprüft werden. Diese Personenüberprüfung nach dem Sicherheitsüberprüfungsgesetz (SÜG) ist eine eigenständige Anforderung und läuft parallel zur Unternehmensqualifizierung. Für das Leistungsverzeichnis ist entscheidend, welchen Ü-Grad Sie als Eignungskriterium voraussetzen:
Überprüfung der betroffenen Person selbst. Typische Bearbeitungszeit 3–6 Monate, je nach Auslastung bei BfV/MAD auch länger. Abfragen bei Verfassungsschutzbehörden, BKA, Bundespolizei, Bundeszentralregister, Staatsanwaltschaftlichem Verfahrensregister, Gewerbezentralregister sowie Abruf von Meldedaten. Seit der SÜG-Novelle 2024 auch Recherche in sozialen Netzwerken. Kein Einbezug des persönlichen Umfelds, keine Referenzbefragung. Einstieg in VS-VERTRAULICH-Aufträge und für IT-Sicherheitsdienstleister der häufigste Überprüfungsgrad.
Alle Maßnahmen aus Ü1 plus: Anfragen bei Polizeidienststellen aller Wohnsitze der letzten fünf Jahre, Identitätsprüfung der betroffenen Person und Einbezug mitbetroffener Personen (Ehe-/Lebenspartner). Keine Referenzbefragung. Dauer ca. 6–12 Monate. Bieter mit bereits abgeschlossener Ü2 haben erheblichen Marktvorteil, da Erstüberprüfungen lang dauern.
Alle Maßnahmen aus Ü2 plus: Befragung von mindestens einer Referenzperson aus der Sicherheitserklärung sowie weiterer geeigneter Auskunftspersonen, aktive Ermittlungen im persönlichen Umfeld. Auch für Personen mit Zugang zu einer hohen Anzahl GEHEIM-Verschlusssachen oder bei Tätigkeiten bei Nachrichtendiensten. Dauer ca. 12+ Monate (das SÜG nennt keine Fristen; die tatsächliche Bearbeitungszeit hängt von der Auslastung bei BfV und BND ab). Im zivilen IT-Sicherheitsbereich die absolute Ausnahme.
Im Leistungsverzeichnis: Das Eignungskriterium muss den erforderlichen SÜG-Grad benennen. Bieter müssen bei Angebotsabgabe lediglich die Bereitschaft zur Überprüfung erklären, nicht eine abgeschlossene Überprüfung vorweisen. Wer abgeschlossene Ü2 oder Ü3 als Zugangsvoraussetzung formuliert, begrenzt den Bieterkreis bewusst auf bereits qualifizierte Unternehmen, was bei sensiblen Vorhaben legitim und sinnvoll ist. Problematisch wird es nur, wenn der geforderte Grad über den tatsächlichen Schutzbedarf des Auftrags hinausgeht, da dann Wettbewerbsverzerrung vorliegt.
NATO-Klassifizierungen und internationale Aufträge
Bei Aufträgen mit NATO-Bezug oder im Rahmen von EU-Behörden gelten eigene Klassifizierungsstufen, die mit den deutschen VS-Stufen nicht deckungsgleich sind:
Eine direkte Übertragung nationaler VS-Stufen auf NATO-Klassifizierungen ist nicht automatisch möglich. Das zuständige Nationale Sicherheitsbüro (NSÜ, beim BMWK angesiedelt) muss frühzeitig eingebunden werden, da es die Zuordnung und die erforderlichen Schutzmaßnahmen festlegt. Wer das erst nach Verfahrensstart klärt, riskiert eine Neugestaltung der Anforderungen mitten im laufenden Verfahren.
Praktische Hinweise für die Verfahrensplanung
VS-Einstufung bewusst und strategisch festlegen. Die VS-Stufe ist kein bürokratisches Etikett, sondern ein Steuerungsmittel: Eine höhere Einstufung begrenzt den Bieterkreis auf Unternehmen mit nachgewiesener Geheimschutzbetreuung und sicherheitsüberprüftem Personal, was bei hochsensiblen Vorhaben genau das gewünschte Ergebnis ist. Gleichzeitig bedeutet eine zu hoch angesetzte Stufe längere Vorlaufzeiten, höhere Betriebskosten und einen kleineren Wettbewerb. Die richtige Frage lautet also nicht "so niedrig wie möglich", sondern: Welche VS-Stufe entspricht dem tatsächlichen Schutzbedarf des Vorhabens?
Marktanalyse als Entscheidungsgrundlage. Vor der Ausschreibung lohnt es sich zu prüfen, wie viele Unternehmen im relevanten Bereich bereits eine BMWK-Geheimschutzbetreuung haben. Das ist keine Frage, ob man die Anforderungen senken sollte, sondern eine Grundlage für die Verfahrenswahl: Gibt es genug qualifizierte Bieter für ein offenes Verfahren, oder empfiehlt sich ein zweistufiges Verfahren mit Präqualifikationsphase?
SINA-Infrastruktur nur anfordern, wenn eingestufte Daten übertragen werden. Die BSI-Zulassung für SINA-Produkte ist aufwendig und auf wenige Anbieter beschränkt. Wenn die Leistung keine klassifizierte Datenübertragung umfasst, reichen handelsübliche BSI-empfohlene Lösungen. Eine SINA-Anforderung ohne sachlichen Grund führt außerdem zu höheren Betriebskosten, die sich über die gesamte Vertragslaufzeit summieren.
Frühzeitig das BMWK einbinden. Bei erstmaliger VS-VERTRAULICH-Vergabe empfehlen wir, früh informellen Kontakt mit dem zuständigen BMWK-Referat aufzunehmen. Die Behörde kann Hinweise geben, welche Anforderungen realistisch sind und wie das Verfahren gestaltet werden sollte.
Die größte Fehlerquelle bei Cybersecurity-Ausschreibungen liegt im Leistungsverzeichnis: Anforderungen sind zu allgemein formuliert, nicht messbar oder lassen sich von jedem Bieter erfüllen, ohne dass die tatsächliche Schutzwirkung sichergestellt ist. Wir strukturieren Anforderungen nach Lösung und Schutzbedarfsstufe:
| Lösung | Kernpositionen im LV | Status |
|---|---|---|
| EDR / XDR | Agent-Deployment auf allen Endpunkten, Detektionsregeln nach MITRE ATT&CK, automatische Isolierung kompromittierter Systeme, Integrationsfähigkeit in SIEM | Pflicht KRITIS |
| SIEM / Log-Management | Zentralisierte Log-Sammlung, Speicherfristen mindestens 90 Tage, Korrelationsregeln, Alarmierung bei kritischen Ereignissen, DSGVO-konforme Speicherung | Pflicht NIS2 |
| NDR | Passive Netzwerkanalyse ohne Eingriff in den Datenverkehr, Erkennung lateraler Bewegungen, OT/ICS-Protokollunterstützung bei Bedarf, Retention der Flow-Daten | Pflicht SzA |
| SOC-as-a-Service / MDR | 24/7-Überwachung, definierte Reaktionszeiten (SLA), Eskalationsprozess zur eigenen IT, Incident-Response-Berichte, BSI-Meldepflicht als vertragliche Pflicht | Empfohlen |
| Penetrationstest | Scope-Definition, Methodik (OSSTMM oder PTES), Reporting-Format mit CVSS-Bewertung, Nachtest nach Behebung, Vertraulichkeitsvereinbarung | Empfohlen |
| Schwachstellen-Management | Asset-Discovery, Scan-Frequenz, CVSS-basierte Priorisierung, Patch-Tracking, Schnittstelle zum Ticketsystem | Empfohlen |
Ein Hinweis aus der Praxis: Formale Eignungskriterien wie BSI-Zertifizierungen oder ISO 27001 des Bieters sind sinnvoll, aber kein Ersatz für präzise Leistungsanforderungen. Wir haben Projekte begleitet, bei denen zertifizierte Anbieter Lösungen geliefert haben, die die tatsächlichen Anforderungen nicht erfüllten, weil das LV die Zertifizierung als hinreichende Bedingung behandelte.
Wir begleiten Cybersecurity-Ausschreibungen von der Markterkundung bis zum Zuschlag. Dabei begegnen uns dieselben Fehler immer wieder.
Formulierungen wie "state-of-the-art-Schutz" oder "vollständige Sicherheit" sind nicht vergaberechtlich prüfbar und führen zu unvergleichbaren Angeboten. Jeder Bieter kann behaupten, diese Anforderung zu erfüllen.
Unser Ansatz: Anforderungen immer mit messbarem Kriterium verbinden. Statt "vollständige Endpunkt-Überwachung": "Agent-Deployment auf mindestens 99 % aller Windows-, macOS- und Linux-Systeme innerhalb von 30 Tagen nach Auftragsstart; Nachweis per monatlichem Deployment-Report."
Cybersecurity-Lösungen haben erhebliche laufende Kosten: Lizenzkosten, Betriebskosten für Signaturdatenbank-Updates, Personalkosten für das interne Security-Team und Wartungskosten. Preisblätter, die nur die Implementierungskosten abfragen, führen zu einem verzerrten Preis-Leistungs-Bild.
Unser Ansatz: Wir strukturieren Preisblätter in drei Blöcke: einmalige Implementierungskosten, laufende Lizenz- und Betriebskosten (Jahresbasis), und optionale Erweiterungen. Das macht die Gesamtkosten über die Vertragslaufzeit vergleichbar.
SIEM-Systeme und EDR-Lösungen verarbeiten personenbezogene Daten, insbesondere Log-Daten mit Nutzerverhalten. Wer diese Anforderungen nicht ins LV und den Vertragsentwurf aufnimmt, riskiert Nachverhandlungen oder Datenschutzverstöße nach Vertragsschluss.
Unser Ansatz: Wir integrieren Datenschutzanforderungen direkt in die LV-Positionen: Speicherort der Daten (EU-Rechenzentrum), Auftragsverarbeitungsvertrag (AVV) als Vertragsbestandteil, Löschfristen für personenbezogene Daten, keine Weitergabe an Dritte ohne Zustimmung.
Cybersecurity-Lösungen funktionieren in der Marketingpräsentation immer. In der eigenen Infrastruktur, mit den eigenen Netzwerksegmenten und Protokollen, ist das oft anders. Wer keinen PoC oder eine Testphase im Verfahren vorsieht, kauft die Katze im Sack.
Unser Ansatz: Bei komplexen Verfahren empfehlen wir eine technische Präsentation als Zuschlagskriterium oder eine optionale Testphase vor Vertragsschluss. Das ist rechtlich zulässig und schützt vor teuren Fehlbeschaffungen.
Wer im LV konkrete Produktnamen oder Hersteller nennt, verstößt gegen das Wettbewerbsgebot. Dasselbe gilt für Anforderungen, die so spezifisch auf ein bekanntes Produkt zugeschnitten sind, dass kein anderes Produkt sie erfüllen kann. Vergabekammern haben solche Verfahren regelmäßig aufgehoben.
Unser Ansatz: Anforderungen produktneutral formulieren und stets den Zusatz "oder gleichwertig" verwenden, wenn technische Spezifikationen nahe an einem Produkt liegen. Bei berechtigtem Interesse an einem bestimmten Produkt (z.B. Kompatibilität mit bestehender Infrastruktur) ist eine Einzelvergabe unter bestimmten Voraussetzungen möglich, aber dokumentationspflichtig.
KRITIS-Betreiber und NIS2-pflichtige Einrichtungen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden. Wenn der externe Dienstleister im Ernstfall die erste Anlaufstelle ist, muss die Pflicht zur Meldungsunterstützung vertraglich festgeschrieben sein, inklusive Fristen und Eskalationspfad.
Unser Ansatz: Wir integrieren Meldepflicht-Klauseln direkt in den LV-Teil "Incident Response": Reaktionszeit, Meldeentwurf, Beweissicherung und Nachbericht sind Vertragsbestandteile, nicht freiwillige Serviceleistungen.
Aus Projekten, die wir begleitet haben, haben sich einige Vorgehensweisen als besonders wirkungsvoll herausgestellt:
Nehmen Sie sich Zeit für eine strukturierte Markterkundung (RFI). Laden Sie zwei bis vier Anbieter zu informellen Gesprächen ein und fragen Sie gezielt nach typischen Schwachstellen in ähnlichen Umgebungen. Das Ergebnis fließt direkt in die Anforderungsformulierung ein, ohne den Wettbewerb zu verzerren, wenn Sie alle Rückmeldungen zusammengefasst in der Ausschreibung veröffentlichen.
Die besten LV-Positionen entstehen nicht am Schreibtisch des Vergabedezernats, sondern im gemeinsamen Workshop mit dem IT-Betrieb, dem Datenschutzbeauftragten und, sofern vorhanden, dem CISO. Wer alle drei an einen Tisch bringt, verhindert die häufigste Ursache für spätere Nachträge: Anforderungen, die technisch nicht umsetzbar sind oder datenschutzrechtlich nicht genehmigungsfähig.
Gerade bei SOC-Leistungen oder vollständigen Security-Operations-Programmen empfehlen wir zweistufige Verfahren: Im ersten Schritt qualifizieren sich Bieter anhand von Eignungsnachweisen, im zweiten Schritt erhalten nur qualifizierte Bieter die vollständigen Vergabeunterlagen. Das reduziert den Bearbeitungsaufwand auf beiden Seiten und erhöht die Angebotsqualität.
Cybersecurity-Dienstleister erzeugen hohe technische Abhängigkeit: proprietäre Log-Formate, Agenten, die tief im System verankert sind, und Playbooks, die nur im System des Anbieters laufen. Wir empfehlen, Portabilitätspflichten und Übergabeanforderungen bereits im ersten Vertrag zu verankern, damit ein späterer Anbieterwechsel nicht zum Projekt für sich wird.
Unsere Leistungen für Ihre Cybersecurity-Beschaffung
Fertige LV-Vorlagen für EDR/XDR, SIEM, NDR und SOC-Leistungen, anpassbar für Ihren spezifischen Schutzbedarf.
Mehr erfahren →Über 100.000 reale Vergabeunterlagen aus IT-Ausschreibungen: sehen Sie, wie andere Auftraggeber Cybersecurity-Leistungen ausgeschrieben haben.
Mehr erfahren →Von der Markterkundung bis zum Zuschlag: wir begleiten Ihr Cybersecurity-Vergabeverfahren als unabhängige Berater.
Mehr erfahren →Quellen