Mindestsicherheitsanforderung (Minimum Security Requirement / Baseline Security Requirement)

Eine Mindestsicherheitsanforderung definiert das nicht unterschreitbare Niveau technischer und organisatorischer Sicherheitsmaßnahmen, das ein IT-System oder ein Auftragnehmer unabhängig vom konkreten Schutzbedarf erfüllen muss, typischerweise als zwingend umzusetzende Kontrollen aus Standards wie BSI IT-Grundschutz-Basis-Anforderungen oder dem NIST Cybersecurity Framework Core. Im Vergabekontext bildet die Mindestsicherheitsanforderung die unterste Schwelle der technischen Anforderungen, unterhalb derer ein Angebot ausgeschlossen werden kann (Ausschlusskriterium), während darüber hinausgehende Maßnahmen als qualitative Zuschlagskriterien gewertet werden können. In IT-Ausschreibungen empfiehlt sich eine klare Trennung zwischen Mindestanforderungen (Pass/Fail) und weitergehenden Qualitätskriterien (Punkte), um Klarheit im Wertungsprozess zu schaffen.